微点交流论坛

标题: 厉害的vffwmo+haol23（终获解决） [打印本页]

作者: quietbug 时间: 2007-6-21 02:38 标题: 厉害的vffwmo+haol23（终获解决）

木马nuphh.dll删除不掉,超厉害的病毒!

我也遇到了类似的问题！
不过我个人觉得那个文件名应该是随机产生的，在我的机器里，那个文件叫做vffwmo.dll。
事情是这样的：
现在这台机器因为经常有家人使用，所以系统中我同时安装了瑞星和微点，经升级都是最新版本。
因为最近加班比较多，经常不在家，机器疏于打理！这几天在家使用时，发现机器运行速度比较慢，感觉在每打开什么窗口时，好像因为两个杀软都在描述所以速度非常慢！
这应该说是一个很正常的猜想！但其实不然，因为我做过很多次试验，瑞星和微点放在同一个系统中一般没有什么影响，虽然有时候速度会变慢，但决不是我遇到的这个样子！
同时，我发现，机器默认主页不再是空白页，而是这个什么 http://www.*****/?a02//
而且瑞星防火墙和卡卡上网助手无法升级，总是提示无法下载索引，要求换一个时间，且无法通过ID号访问瑞星服务专区以下载更新版文件，卡卡社区也无法访问，经查应该是病毒通过什么途径将这些内容给屏蔽了！
每次开机，微点提示发现vffwmo.dll为病毒，提示删除，但怎么也删不掉，不断弹出提示，随后提示微点的一个什么M什么2的常驻文件出错。
瑞星杀毒可以正常升级，因为整个机器速度慢，终于艰难又手动升级为最高版本后，将微点反安装！
重起后，瑞星发现病毒vffwmo.dll，但无法删除，机器速度恢复正常！
使用Unlocker终于将其解锁后删除，但故事未完。
被恶意修改的主页，不论怎么清除注册表、使用卡卡上网助手、解除应用程序劫持项，都不行！
甚至终止"Remote Registry"服务选项，但是到现在也未果！

[ Last edited by quietbug on 2007-6-21 at 08:54 ]

作者: gh_80000 时间: 2007-6-21 03:13
1.域名劫持，当访问一些安全站点时将自动跳转到一个仿hao123的页面
2.自动保护，常规方法有可能无法彻底删除.
3.隐藏启动
解决方法:
1:打开微点主界面,系统分析→系统自启动信息→在页面点右键→隐藏已知的启动信息→右键点你认为有可疑的其他自启动项→删除文件与自启动项或者仅删除自启动项.然后重新启动电脑.
2:如果还不能解决的话下个专杀工具,下载地址:http://bbs.360safe.com/viewthrea ... &extra=page%3D1 查杀完毕重新启动电脑.
3:下个360安全卫士,把电脑里的恶意流氓软件彻底清理一次.下载地址:http://www.360safe.com/?uid=1&pid=h_home

[ Last edited by gh_80000 on 2007-6-21 at 03:39 ]

作者: gh_80000 时间: 2007-6-21 04:09
建议LZ试下:

1:关闭瑞星防火墙和卡卡助手.(为了系统运行更流畅,最好删了瑞星及卡卡,说白了中看不中用还占系统资源.).单用微点并且打开微点自带的防火墙,把防火墙规则包设置成五(微点完全能够胜任保护你的电脑).
2:如果安装了360安全卫士也设置不随机启动,用时打开清理下电脑里的恶意流氓软件和插件.
3:养成良好的上网习惯,每次(或几天)关机前清理下系统.

以上只是建议,谨供LZ参考.

另:将文件vffwmo.dll压缩发到virus@micropoint.com.cn，让微点的技术人员具体测试分析下。

[ Last edited by gh_80000 on 2007-6-21 at 04:27 ]

作者: quietbug 时间: 2007-6-21 07:31
感谢楼上朋友的热心：）
但老实说，这些都是常规办法……
昨天弄到四点，也没有什么眉目！
现在已经使用多个杀软扫描机器（也摊上单位正版软件多，都是最新版），也都没有发现病毒。
现在机器除了首页被改，其他异常倒没有发现什么，呵，这感觉就好像机器被劫持过，但是解救下来后，那种恐怖的经历始终烙印在了记忆里！
不知道除了重装系统，现在这样的问题，是否还有什么能够解决的办法。
我也是微点的支持者！
呵，但现在有些病毒的手段简直到了令人发指的地步……
安全领域任重而道远！

作者: quietbug 时间: 2007-6-21 07:51
楼上的4199变种专杀工具提示没有发现恶意文件

这家伙厉害啊
几乎屏蔽了所有的杀软升级地址和相关网址

先前毒霸识别为飘雪变种P，经他不知所以的杀出后，情况依旧，不过他倒是不报警了！

[ Last edited by quietbug on 2007-6-21 at 08:03 ]

作者: Legend 时间: 2007-6-21 08:02
请问楼主的vffwmo.dll是否存在，如果存在，请楼主将vffwmo.dll文件连同微点目录下的mp6文件一同发到virus@micropoint.com.cn 我们根据您提供的信息具体分析测试，另外楼主的主页被修改可以尝试使用微点主界面->系统分析->注册表恢复中修复回来，感谢楼主的反馈。

作者: quietbug 时间: 2007-6-21 08:12
感谢版主的回复！

现在情况被我弄得有点复杂，首先病毒文件因为删除已经不在了。
可能众多杀软还是起了些作用的，现在机器不管用谁，基本都提示无毒，也没有什么恶意文件。
但是主页被修改，却怎么也解决不了！
现在系统中，RUNNING / AUTO START 中也未见异常……
：）抓狂

（版主前面所说的通过微点修复注册表，是最早先试验过，没有效果）

[ Last edited by quietbug on 2007-6-21 at 08:13 ]

作者: quietbug 时间: 2007-6-21 08:28
C:\WINDOWS\system32\drivers\etc下的HOSTS文件都给删除掉了
情况依旧~~~

作者: quietbug 时间: 2007-6-21 08:34
无意中发现居然是这样的
狗东西
请原谅粗口

刚才看桌面
无意中发现桌面上IE的快捷方式图标大小居然有1,607字节
将现在的IE快捷方式转移到其它目录，再重新复制一个IE快捷出来，现在745 字节。
原来他把自己隐藏为IE的形式了，现在主页恢复正常！
：）真是有些佩服这些人了，搞笑！

作者: quietbug 时间: 2007-6-21 08:52
经过重起后，现在一切恢复正常！
杀软的升级也都正常，看上去也没有主页被篡改和程序被劫持的现象了。
专门抽时间搞这个，现在估计累计也用了十个小时，方法也用了很多，试验无所不及，呵，都不知道那些步骤起了作用。
但综合来看，现在问题基本得到解决！
：）
希望上面的步骤，对大家也能够有个参考！
现在的这些东西，实在是厉害，大家上网，多留心！

作者: iamfly 时间: 2007-6-21 17:24
icesword 360safe processexplorer syscheck autoruns sreng
以上这些工具，都在清除顽固的流氓软件与木马中非常有用。曾经遇到在WINDOWS下怎样也清除不了的，用这些工具找出所有病毒文件和后台驱动，用光盘启动进仿XP界面，清除，重启进XP再清除注册表中信息，搞掂。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn