Board logo

标题: 中了Rising病毒 [打印本页]
作者: 天马行空     时间: 2007-4-13 02:09    标题: 中了Rising病毒

今天升级到070410.1.2.10569.0097后,中了Rising病毒,系统瘫痪.只好重装系统,杀软换回NOD,安上防火墙Outpost...郁闷!
作者: Legend     时间: 2007-4-13 02:10
请问楼主具体什么现象?
作者: 天马行空     时间: 2007-4-13 02:27
当时急着重装系统,没有留下图片。升级后微点主界面中有一项软件控制策略(具体名称记不住了)打不开,晃屏;网络连接里面是空的,没有本地连接(网卡驱动正常),上网拨号没有IP,启动超慢(20分钟才进到桌面),软件打不开,一闪就没了......然后微点报毒(当时有4项),执行删除后重启,又报有毒......打开D盘,发现Rising.exe(属性隐藏),删除后重启,Rising.exe仍在。更严重的是,系统时间被强制更改为1994年,且不能手动更改,BIOS下时间被更改为2094年......
作者: Legend     时间: 2007-4-13 02:31
请问楼主操作系统具体什么版本?
在什么情况下中了该病毒?
作者: 天马行空     时间: 2007-4-13 02:36
操作系统WINXP_SP2;在微点主页发现新版本,于是下载、更新,重启后中毒。
作者: Legend     时间: 2007-4-13 02:41
楼主的意思是说安装新版微点070410.1.2.10569.0097之后,重启后发现新病毒?
请问楼主之前的微点版本是多少?
作者: 天马行空     时间: 2007-4-13 02:49
更新前的版本是1.2.10569.0094 。升级重启后微点发现病毒,于是就出现了3楼的情况。
作者: Legend     时间: 2007-4-13 02:51
请问楼主目前在非系统分区根目录下是否还能找到病毒样本?
如找到样本请发送到virus@micropoint.com.cn 我们具体分析一下。
作者: 天马行空     时间: 2007-4-13 02:57
重装系统后,使用卡巴、NOD查杀rixing.exe都没有反应,手动删除后没有复活,当时使用WYWZ控制台擦除,没办法恢复了。
作者: 天马行空     时间: 2007-4-13 03:01
根据微点的防毒原理,可能病毒原来就存在,只是没有发作,所以微点没有报毒。升级后,病毒是不是趁着重启的时机发作呢?
作者: Legend     时间: 2007-4-13 03:04
微点安装时需要卸载掉老版本才能继续安装。
微点升级功能即可完成升级(默认设置为后台自动升级),建议您以后使用升级功能完成微点日常升级。
作者: 天马行空     时间: 2007-4-13 03:06
Legend大,使用微点后,一个星期内我重装了2次系统,问题都是出在版本升级上(上一次出问题我也发帖了)。
作者: Legend     时间: 2007-4-13 03:09
非常感谢楼主反馈的信息,我们会尽快分析处理。
作者: 天马行空     时间: 2007-4-13 03:11
是的,微点升级功能即可完成升级,下载新版本是为了备用。当时或许是自动卸载旧版本、安装新版本时,诱发的病毒发作?

[ Last edited by 天马行空 on 2007-4-13 at 03:36 ]
作者: 天马行空     时间: 2007-4-13 03:50
又想起来一个现象:升级后,微点不能使用,提示续费。后来发现系统时间被更改。
作者: 孤烟     时间: 2007-4-13 10:45
汗一把
作者: miao_ker     时间: 2007-4-13 22:17    标题: 很想知道问题解决料吗!!!

很关注这个问题!!!很想知道问题解决料吗!!!
作者: segourigh     时间: 2007-4-14 07:54
Rising病毒??瑞星病毒?
作者: 逗你玩     时间: 2007-4-14 09:55


  Quote:
Originally posted by segourigh at 2007-4-14 07:54:
Rising病毒??瑞星病毒?

我也想知道......Rising病毒??
作者: 天马行空     时间: 2007-4-14 15:54
rising.exe和 autorun.inf ,新病毒播报


公开挑战瑞星公司的Rising病毒大面积发作

四月祭日 瑞星病毒 发面积发作.
该病毒会在C,D,E盘下产生

Autorun.inf
[AutoRun]
open=rising.exe
shellexecute=rising.exe
shell\Auto\command=rising.exe

并且感染硬盘中所有的EXE文件.病毒危害之大,面积之广,速度之快.这是一个"公开"向瑞星公司挑战的病毒.
到目前为止,瑞星公司还是拿该病毒无奈.没做正面的解答.

病毒所产生的关联文件:
==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

感染驱动程序:
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[Service for Avance AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Avance Logic, Inc.>
[BaseTDI / BaseTDI][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\basetdi.sys><Beijing Rising Technology Co., Ltd.>
[ExpScaner / ExpScaner][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\ExpScan.sys><>
[HookCont / HookCont][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\HOOKCONT.sys><Rising>
[HookReg / HookReg][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\HookReg.sys><>
[HookSys / HookSys][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\HookSys.sys><Rising>
[MEMSCAN / MEMSCAN][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\MEMSCAN.sys><瑞星软件有限公司>
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\D:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv][Running/Manual Start]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
<\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.>
[RSPPSYS / RSPPSYS][Running/Auto Start]
<\??\C:\Program Files\Rising\Rav\RSPPSYS.sys><Rising>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Running/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[TYKeeper / TYKeeper][Running/]
<2 - 系统找不到指定的文件。
><N/A>

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<333><C:\Syswm1i\svchost.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Windows Publisher]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Windows Publisher]
<SoundMan><SOUNDMAN.EXE> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.]
<yok.exe><C:\Program Files\yok\yok.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<RavStub><"C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<TkBellExe><; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [(Verified)"RealNetworks, Inc."]
<UnlockerAssistant><; C:\Program Files\Unlocker\UnlockerAssistant.exe> []

提醒:重新安装系统可完全解决,前提是删除掉所在在你中毒的那个时间段所有的EXE和DLL文件,搜索文件指定日期范围,然后把隐藏文件全部显示,删除掉其它盘的autorun.inf和rising.exe,系统盘里的autorun.inf打开编辑把里面的内容全部删除,不要删除这个文件,再删掉rising.exe,就可以装系统了.如果你确实不想重新安装系统的话,相信你很了解的话也要用上四个小时以上方可搞定
作者: pcjuju     时间: 2007-4-14 17:00
  晕死了。
作者: 干虾米哟     时间: 2007-4-14 19:10
瑞星病毒……
作者: 蔚蓝色     时间: 2007-4-14 22:21
修改系统时间的,前几天还在同事的机器上见过,确实比较棘手
作者: ballpointpen     时间: 2007-4-14 22:29
病毒通过修改系统时间来使安全软件服务期失效,从而瘫痪安全软件。
还是通过禁止修改系统时间来对付这类病毒吧。
作者: laolang     时间: 2007-4-15 20:00
我们拭目以待,今天刚装了微点,有点......
作者: minwei     时间: 2007-4-16 02:44
给你介绍一个好方法!就连最新的“兔子”病毒也逃不过哦!到我的网盘下载!
http://free.ys168.com/?minwei在防护区里面!
捆绑型病毒终极解决方案!


经常看到有人说中了某某利害的病毒,即使重装系统也无济于事,可执行文件图标异常,无奈之下只能删除所有可执行文件,甚至全盘重新分区,格式化,遭受重大损失。
    难道就没有方法判断这些文件型病毒吗?它们寄生在其它软件内难道可以隐形?实际上病毒并没有那么高明,它们的寄生方式多数都很简单,对于研究过病毒的人可能手工修复并不困难。不过如果您的硬盘中有2000个可执行文件,要手工把所有文件中的病毒都找出来然后清除恐怕再利害的人也要累倒了。用杀毒软件?杀毒软件不能发现新病毒是常事,发现以后不予修复而直接删除也是家常便饭。
    针对这个问题,我编制了“慧眼”软件,它通过分析可执行文件的结构来判断是否有病毒感染的嫌疑,然后可以强行将可疑结构清除,由于病毒特征为通用特征,所以病毒变形不会影响本软件的查杀,因此不需要更新病毒库,但是不能保证清除后的文件与染毒前文件完全相同,一般情况下文件都可以正常运行,带自校验的文件不能运行。本软件对目前流行的多数文件捆绑型病毒(如威金,熊猫等)有特效。

一、软件名称:慧眼
二、适用操作系统:Win2000/Winxp/Win2003
三、软件性质:共享软件

四、使用说明

1. 请在杀毒前关闭所有其它杀毒软件。
2. 先设置扫描目标,然后扫描,默认为扫描所有可用介质。
3. 默认扫描文件类型为可执行文件。
4. 默认为备份染毒文件,建议不要更改,防止出现误杀、杀坏文件造成损失!
5. 默认备份路径为C:\virbackup、D:\virbackup...各分区目录,保留源文件目录信息。
6. 默认不修复注册表,此功能为辅助功能,请根据病毒库说明使用。
7. 请您在杀毒以后逐一测试文件是否正常,如有异常,请保管好备份的染毒文件。
8. 杀毒日志文件在C:\vscan.log,您可以随时查看杀毒历史。
9. 默认为查毒模式,这样不会操作发现的可疑病毒,第一次扫描必须选择此模式。
10.您可以选择“结束非系统进程”,这样查毒之前会结束所有非系统进程,推荐选择。此选项默认关闭。
11.选择安静模式可以避免任何错误提示造成程序停止。此选项默认打开。
12.“自动解除多重感染”可以自动清除病毒多次感染,防止病毒清除不干净,此选项默认打开,如果病毒感染情况复杂时可以关闭。
13.“删除所有可疑文件”作用就不用说了,只要备份染毒文件就不要紧,对于彻底隔离病毒很有效。此选项默认关闭。
14.“辅助工具”-“清理非系统进程”会结束所有非系统进程,请在操作前关闭所有应用软件。
15.“清理开机启动项”会关闭所有开机启动项,WindowsXP输入法除外。
16.“恢复开机启动项”会恢复所有开机启动项,只有您确定所有病毒已经清除之后才可开启,不推荐使用。
17.“修复注册表”会根据病毒库提供的修复内容修复注册表,请根据病毒库说明使用。

五、查杀病毒的一般步骤:
1.当您无法确定内存是否有毒时,请运行“辅助工具”-“清理非系统进程”
2.当您无法确定启动项是否有毒时,请运行“辅助工具”-“清理开机启动项”
3.选择扫描目标及文件类型。
4.扫描并查看结果,判断病毒性质(前置或后置)。
5.在“杀毒选项”中解除查毒模式,选择病毒性质(前置或后置),此选项不推荐用“自动”。
6.再次查毒,即可清除所有可疑病毒。

六、注意事项
1.请仔细阅读“使用说明”和“查杀步骤”,不正确的使用本软件可能给您造成更大损失。
2.关于病毒性质的判断:
2.1 本软件报告的可疑病毒不一定都是病毒,有些是正常软件,需要您加以判断。
2.2 凡是出现“前置?”或“后置?”说明本软件也无法确定,此项目只能参考,不能作为判断依据。
2.3 当出现不同文件报告结果不同时,以多数为准,当不同大小的文件报告结果不同时,以大文件为准,因为一种病毒的感染方式只能为二者之一,除非您中了多种病毒,这样的情况就不好处理了,保险的办法就是全部删除。
2.4 选择病毒类型一定要认真,如果选反了,你猜猜会怎么样?
3.本软件只能查杀染毒文件,对病毒本体不能查杀,不能代替杀毒软件,要想真正干净的清除病毒,请使用杀毒软件、专杀工具或重装系统。
4.本软件虽然有一定清理内存病毒能力,但不能保证内存干净,只有格式化系统盘,重装系统才能保证,因此重装系统后立即使用可以更安全的清除病毒。
5.本软件属于特别软件,有一定的风险,您如果自愿使用,本人对您因使用该软件造成的任何后果不负责任!

[ Last edited by minwei on 2007-4-16 at 03:07 ]
附件 1: 20070412_0d.jpg (2007-4-16 02:59, 52.47 K,下载次数: 56)


作者: 蔚蓝色     时间: 2007-4-16 23:51
又是这个修改系统时间的东西
作者: ytgshlm     时间: 2007-4-18 08:15
晕!太可怕了!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn