ghost.pif最新变种手动查杀，ARP欺骗挂马＋KAV让卡巴失效＋1966年系统时间……


网络编程	网页设计	图形图像	数据库	服务器/PC	网络媒体	网络技术	业界新闻	网站赚钱	流量排名

文章搜索：分类关键字

您的位置：首页 → 网络技术 → 病毒木马 → ghost.pif最新变种手动查杀，ARP欺骗挂马＋KAV让卡巴失效＋1966年系统时间……

ghost.pif最新变种手动查杀，ARP欺骗挂马＋KAV让卡巴失效＋1966年系统时间……

添加日期：2007-7-18 14:07:01 [大中小]

该死的病毒……
今天单位电脑中毒了……
因为单位统一装了个破软件……
把IE安全性降低到最低……

然后局域网中的ARP病毒就肆虐……上网所有页面被添加一段代码……然后我的机器中毒了……
郁闷……

症状：卡巴斯基提示激活出错，然后退出
根据经验，看了一下系统时间，被修改为1966年……

修改系统时间，重新激活卡巴……查毒……无效……
重启进安全模式……卡巴不能启动……

回系统（winXP SP2），查看进程，发现可疑进程：msvcrt.bak
我对自己的系统进程是了如指掌的，这个进程肯定是病毒
上网搜索……
得到此病毒解决方法：

以下是引用片段：

解决办法：

1.打开sreng(可到http://www.yici.net下载SystemRepairEngineer（sreng2）)

启动项目注册表删除如下项目
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> [N/A]
<ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> []
<jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> []
<wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> []
<wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> []
<wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> []
<qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> []
<rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> []
<wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> []
<tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> []
<dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> []
<{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}><C:\Program Files\Internet Explorer\HiJack.dll>

[Microsoft Corporation]
<{0EA12C16-CDEF-6AC1-236E-CD3FE82F5213}><C:\Program Files\Internet Explorer\msvcrt.dll>

[Microsoft Corporation]

系统修复浏览器加载项选中
[]
{D7515C61-A66C-4319-A0E0-D416CB8059E3} <C:\Program Files\Common Files\Relive.dll, Microsoft

Corporation>
并单击右下角的删除所选内容在弹出的对话框中选择是
2.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（

推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
删除C:\Program Files\Common Files\Relive.dll
C:\Program Files\Internet Explorer\HiJack.bak
C:\Program Files\Internet Explorer\HiJack.dll
C:\Program Files\Internet Explorer\msvcrt.bak
C:\Program Files\Internet Explorer\msvcrt.dll
清空临时文件夹C:\DOCUME~1\用户名\LOCALS~1\Temp

3.删除瑞星江民卡巴 360文件夹下的ws2_32.dll（按你实际安装的杀软情况）
方法：
假如你的瑞星在C:\Program files\rising\rav下面
则这样做开始运行输入cmd C:\Program files\rising\rav\ws2_32.dll 回车
rd 1..\ 回车
关闭cmd窗口直接删除ws2_32.dll文件夹即可
其他的文件夹下的ws2_32.dll以此类推

sreng搜索后，发现我的机器里面只有：
C:\Program Files\Common Files\Relive.dll
C:\Program Files\Internet Explorer\msvcrt.dll
C:\Program Files\Internet Explorer\msvcrt.bak
这几个可疑文件，其他的没有
应该是属于这个病毒的变种～有时候各个变种之间的文件未必完全相同，要自己主观分析了～
通过进安全模式删除的方法，解决问题……

但是卡巴被破坏了……只能重新安装……
然后升级最新版，全盘杀毒……
果然，在IE缓存中有ARP挂马后的一个病毒下载器……
删除后再次全盘杀毒，ok！

经验：
要对进程了解，上网尽量保持警惕，杀毒软件有异常立刻断网，然后分析
对可疑进程上网搜索相关资料

出处：本站原创作者：Joker 点击：

热点文章

·photoshop制作香烟、烟头、烟雾

·photoshop图片卷角、翻页效果的制作

·用U盘或移动硬盘装《深山红叶袖珍系统Win PE启动..

·photoshop经典恐怖片海报效果教程

·ghost.pif最新变种手动查杀，ARP欺骗挂马＋KAV让..

·photoshop制作3D立体小人和字体

·photoshop水晶球质感表现 - 关于光影的细节

·关于zend解密的程序

·王晨昀：谁来拯救中小网站？

·photoshop泛黄、陈旧纸张效果的制作

推荐文章