Greysign - 2006-9-19 20:02:00
http://www.yule21.com/
我刚不小心点了这个网站/..就中毒了.没有声音.我就马上断网查看.一看不得了.生成不少文件.还有修改了一些注册表.插入EXPLORER和SCVHOST.还有一个DLL文件随WINDOWS启动/
大费周折终于把那些看见的文件删了.有一个不小心删除掉了.其他都打成压缩包给你了.
还有我做了很多修复.删了已知可疑文件.没有可疑进程的条件下.还是不断自动生成IE进程.我没打开IE...找不到那原因.
然后就注册表还原了...声音才回来了.......
哎.第一次这么郁闷.瑞星一开始给关了.不过我那一些可疑进程杀了以后就回来了.不过连根毛都没查到.我现在都不知道这个是什么毒.
希望猫叔研究后给我个答复.谢谢.以后有样本我第一时间送给你.
deadmanzj - 2006-9-19 20:05:00
样本?在哪,偶进去过。。。瑞星没报毒
样本呢gudugd@yahoo.com.cn
Greysign - 2006-9-19 20:09:00
这些可疑文件.我可能有遗漏.因为肯定还有病毒进程在运行.才会一直生成那些IE进程..
我压缩的那些...只是我找到的..也不知道是不是一个毒.不过时间是一样的..
我现在发给你.
你也可以直接去那有毒的网站.去看看.HOHO
Greysign - 2006-9-19 20:12:00
瑞星没报毒.可惜你一注销或重起.就知道苦了.可疑进程满天飞.你最好马上看看有没有我发给你的那些文件.
你大概也中了..............
Greysign - 2006-9-19 20:34:00
猫叔.还有楼上的大哥啊.怎么样了...
deadmanzj - 2006-9-19 20:50:00
偶重启看看,刚刚看到你的留言,网站我进去过
Greysign - 2006-9-19 21:19:00
大哥,敌情如何.用的啥生化武器
baohe - 2006-9-19 21:43:00
| 引用: |
【Greysign的贴子】大哥,敌情如何.用的啥生化武器
……………… |
关于那个system:
1/
附件:
1558472006919213543.jpg
baohe - 2006-9-19 21:45:00
| 引用: |
【Greysign的贴子】大哥,敌情如何.用的啥生化武器
……………… |
关于那个system:
2/
附件:
1558472006919213726.jpg
Greysign - 2006-9-19 21:56:00
请教猫叔
那生成IE进程是这个文件搞出来的吗
你是怎么知道他生成哪个文件呢.教教我
baohe - 2006-9-19 21:58:00
| 引用: |
【Greysign的贴子】大哥,敌情如何.用的啥生化武器
……………… |
关于那个Call.exe
删除加载项(图)。
重启。
显示隐藏文件。
删除system32文件夹中的Call.exe和RChook.dll
附件:
1558472006919214958.jpg
Greysign - 2006-9-19 22:05:00
我清除的还有root1.exe/SYSTEM.EXE/KB235780M.DLL/msdll.DLL/wscntfy.EXE
不知道这个病毒是什么病毒哦.为什么瑞星没报毒.
baohe - 2006-9-19 22:12:00
| 引用: |
【Greysign的贴子】我清除的还有root1.exe/SYSTEM.EXE/KB235780M.DLL/msdll.DLL/wscntfy.EXE
不知道这个病毒是什么病毒哦.为什么瑞星没报毒.
……………… |
那个root1.exe好像是个木马下载器。它无法通过Tiny访问网络。我结束其进程,就了事了。
baohe - 2006-9-19 22:16:00
| 引用: |
【Greysign的贴子】我清除的还有root1.exe/SYSTEM.EXE/KB235780M.DLL/msdll.DLL/wscntfy.EXE
不知道这个病毒是什么病毒哦.为什么瑞星没报毒.
……………… |
那个wscntfy.exe是关闭WINDOWS自动更新的东东。
删除它,自己把WINDOWS自动更新打开就行了。
Greysign - 2006-9-19 23:45:00
哦.那这个病毒是叫什么的/为什么瑞星没报毒?
deadmanzj - 2006-9-20 11:36:00
猫叔,偶也测试了一下,发现那先运行CALL.EXE,好象不产生那个dll文件。。。我先运行CALL.EXE,再运行root1.exe,提示激活call.exe,不知道是不是root1.exe用来激活call.exe的啊
© 2000 - 2026 Rising Corp. Ltd.