瑞星卡卡安全论坛

和以下网址一样的现象

http://zhidao.baidu.com/question/12368923.html

是什么病毒啊

【回复“笑笑哥哥”的帖子】
用Sreng扫日志贴上。

我可以把EXE文件打包放上来你们分析.

重安装系统之后,没有再发现感染.

但已有硬盘上的EXE文件全被感染.双击就释放出一个比原文件名多一个~的EXE文件,经查就是原来正常大小的EXE文件,这个带~的才可以运行.被感染的文件不能运行,只是起一个释放新文件的作用..

以下为被感染的文件.TCPVIEW.查看连接的.

http://bbs.wnv.com.cn/attachment.php?aid=27218

引用:

【笑笑哥哥的贴子】我可以把EXE文件打包放上来你们分析. 重安装系统之后,没有再发现感染. 但已有硬盘上的EXE文件全被感染.双击就释放出一个比原文件名多一个~的EXE文件,经查就是原来正常大小的EXE文件,这个带~的才可以运行.被感染的文件不能运行,只是起一个释放新文件的作用.. 以下为被感染的文件.TCPVIEW.查看连接的. http://bbs.wnv.com.cn/attachment.php?aid=27218 ………………

打包，加密（解压密码用：virus），发到：baohelin@yahoo.com.cn

我也遇到一样的病毒 好多程序需要自己把名字修改回来才能用。而且winrar等右键功能不能实现了，只能打开winrar本身，而不能直接压缩成文件包之类的

版主,已经发送到你的邮箱了...

昨天被感染.查出了IE被51上网导航所控制.更新了最新的恶意软件清理助手,查出了通用搜索ROOGOO病毒.

引用:

【笑笑哥哥的贴子】版主,已经发送到你的邮箱了... ………………

附件: 1558472006910231211.jpg

哦.我去看看...你得删了tcpview.exe.再把这个~的改名为正常的．再运行看看．

释放出来的Tcpview~.exe为92.0 KB (94,208 字节)

嗯,最新发现....

一运行被感染的EXE文件。IE就加载一个51导航的加载项。还好我一直是禁用它的。

然后我用恶意软件清理RogueCleaner删除。再运行感染的EXE文件。又会出来51导航的加载项

版主在运行的时候要注意了。

版主.重新搞了个感染的文件发送到你邮箱了.请查收.

注意你别中了毒.查一下IE的加载项.会有一个51导航的.

【回复“笑笑哥哥”的帖子】

这个文件也打包发一个到下面的邮箱~(加上密码  )

xue_mai_qi@163.com

好的...

做个专杀就好了...

顶，这个病毒了怎么杀！

重安装系统之后,没有再发现感染.

但已有硬盘上的EXE文件全被感染.双击就释放出一个比原文件名多一个~的EXE文件,经查就是原来正常大小的EXE文件,这个带~的才可以运行.被感染的文件不能运行,只是起一个释放新文件的作用..

引用:

【笑笑哥哥的贴子】版主.重新搞了个感染的文件发送到你邮箱了.请查收. 注意你别中了毒.查一下IE的加载项.会有一个51导航的. ………………

收到你新发的样本。
运行你给的那个Tacktor.exe后，Tacktor.exe释放到当前用户临时文件夹中，此后，在该文件夹中生成一个Tacktor～.exe，而Tacktor.exe本身被自动删除。
注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings分支添加了一个代理地址（具体内容忘记了）。
结束Tacktor～.exe进程，Tacktor～.exe文件可直接删除。清理了一下注册表，就完了。
看来，你给的样本不是病毒/木马的主体文件，仅仅是个受感染的文件而已。

....

主体文件已经找不着了,因为之后就重安装系统了.中毒之时,没查出病毒体,但进程不断有启动下载更新的东西.该病毒跟51导航和破坏TCP/IP的adplus/msplus病毒和通用搜索ROOGOO病毒有关.当时就用RogueCleaner查杀过.

我已经把这样本发工程师了.

这个病毒 Trojan.DL.Misc.b

昨天晚上中的..和以前的威金病毒症状差不多所有EXE.rar图标变色..只是生成~.exe程序..
用以前的威金专杀.橙色八月和最新版本瑞星杀不掉..求更新
金山毒霸和卡巴6.0的可以杀出


这是上面一个帖子发的..和你的是不是很象啊

顶起来 我还中着呢 每次运行完用ewido security suite都能杀出10个木马 看来是下载了木马...

用卡巴解决了

不知道怎么样的情况

我顶你个肺！

如果还没有解决问题
请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改。

但楼主的系统已经重装了
扫LOG还能发现什么吗?

引用:

【笑笑哥哥的贴子】嗯,最新发现.... 一运行被感染的EXE文件。IE就加载一个51导航的加载项。还好我一直是禁用它的。 然后我用恶意软件清理RogueCleaner删除。再运行感染的EXE文件。又会出来51导航的加载项 版主在运行的时候要注意了。 ………………

它在windows下生成一个文件(cnt.exe  )
然后又调用下面这个dll 文件~(并生成一个51导航的加载项~)

父级进程：
  路径： C:\WINDOWS\cnt.exe
启动
子级进程：
  路径： C:\WINDOWS\system32\regsvr32.exe
  信息： Microsoft(C) Register Server (Microsoft Corporation)
  命令行：Regsvr32.exe /s C:\windows\system32\browsewmzero.dll

C:\WINDOWS\cnt.exe  你找到这个文件,并跟据它的创建日期查找生成的其它文件.

你用SSM禁止cnt.exe运行~禁止browsewmzero.dll被任何程序调用~
删除它们的文件~(但暂时不要删除那些被感染的,以防止系统无法正常运行~~)
如果你有Icesword 可以用它查看下 Explorer.exe的模块中,有没有这个这个 dll插入~(如果有,卸除即可~)
删除这两个文件(如果还找到其它文件,你可以确定的病毒文件,)
然后用Autoruns.exe去掉这个DLL运行项(在这个软件中可以看到,并可以清除,(在这里清除的是它的注册表中的东西~)

以上可能用到的工具的链接如下~~
Icesword
http://www.blogcn.com/user17/pjf/index.html
ssm
http://www.syssafety.com/files.html
Autoruns.exe(下帖9楼)
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

谢谢楼上的兄弟