我用的是WIN2000发现了以下一个文件 bbs.ikaka.com

chinaroo - 2006-12-17 13:11:00

[DOWNLOADNUMS]

updatetm=26
downfile=10
killproc=5
removreg=1

[STARTHTMPAGE]

;mainpage=http://www.sina.com.cn

[DOWNMAINLIST]

mainfile=http://www.god74.com/top/top.exe

[DOWNFILELIST]

downfile1=http://www.god74.com/mm/1.exe
downfile2=http://www.god74.com/mm/2.exe
downfile3=http://www.god74.com/mm/3.exe
downfile4=http://www.god74.com/mm/4.exe
downfile5=http://www.god74.com/mm/5.exe
downfile6=http://www.god74.com/mm/6.exe
downfile7=http://www.god74.com/mm/7.exe
downfile8=http://www.god74.com/mm/8.exe
downfile9=http://www.god74.com/mm/9.exe
downfile10=http://www.god74.com/mm/10.exe

[DOWNKILLLIST]

killproc1=avp.EXE
killproc2=rav.EXE
killproc3=kav.EXE
killproc4=kavsvc.EXE
killproc5=NAVAPSVC.EXE

[REMOVREGLIST]

;removreg1=HKEY_LOCAL_MACHINE\SOFTWARE\C07ft5Y\WinXP*test

说明：C:\WINNT\temp 会自动生成以上*.EXE文件。
而且会在进程中运行，导致瑞星杀毒软件无法运行，造成本机彻底掉线现象。我的临时解决办法是在C:\W

C:\WINNT\temp
手动建立*.EXE文件并把属性改为只读。目前还没发现有问题。

不言放弃 - 2006-12-17 13:24:00

【回复“chinaroo”的帖子】
一定是一个木马程序的配置文件了

http://www.KZTechs.com/
下载System Repair Engineer
导出全部日志

chinaroo - 2006-12-18 15:06:00

全部日志

http://51r.com/user3/xici/archives/2006/288074.shtml

chinaroo - 2006-12-18 15:07:00

谢谢！

baohe - 2006-12-18 15:53:00

【回复“chinaroo”的帖子】
http://www.god74.com/mm/1.exe
http://www.god74.com/mm/2.exe
http://www.god74.com/mm/3.exe
http://www.god74.com/mm/4.exe
http://www.god74.com/mm/5.exe
http://www.god74.com/mm/6.exe
http://www.god74.com/mm/7.exe
http://www.god74.com/mm/8.exe
http://www.god74.com/mm/9.exe
http://www.god74.com/mm/10.exe

这是10个木马。
今天能有效下载的只有1、2、3、5、6、8这么几个。下载后能活下来的只有4个小角色。容易搞掂。

1、结束这几个进程：

附件: 15584720061218154502.jpg

baohe - 2006-12-18 15:54:00

2、用IceSword强制删除这些文件：

附件: 15584720061218154551.jpg

baohe - 2006-12-18 15:55:00

3、删除这几个加载项：

附件: 15584720061218154632.jpg

baohe - 2006-12-18 15:56:00

只有那个top.exe还算个正经角色（木马下载器）。
等一会儿玩儿完了，告诉你怎么收拾它。

与时拒进 - 2006-12-18 16:05:00

引用:

【baohe的贴子】只有那个top.exe还算个正经角色（木马下载器）。
等一会儿玩儿完了，告诉你怎么收拾它。
………………

真羡慕你说话的口气，目前我对病毒是唯恐避之不及

另外，猫叔，昨天下载win sp2 ，280多mb，下载8个多小时，结果，安装不成功，

郁闷死了

afkp4e7 - 2006-12-18 16:08:00

引用:

【与时拒进的贴子】
真羡慕你说话的口气，目前我对病毒是唯恐避之不及
另外，猫叔，昨天下载win sp2 ，280多mb，下载8个多小时，结果，安装不成功，
郁闷死了
………………

你的网速真快
2天不见你就“青出于蓝”了

与时拒进 - 2006-12-18 16:12:00

你的网速真快
2天不见你就“青出于蓝”了
………………

回复水贴太多

猪知山 - 2006-12-18 16:18:00

饿补E文

baohe - 2006-12-18 17:03:00

【回复“chinaroo”的帖子】

关于那个top.exe（那10个木马的总头目）的查杀：

1、展开：HKCU\Software\Microsoft\Windows\CurrentVersion\Run

删除：avptask（指向c:\program files\eset\rund1132.exe）

2、重启。删除c:\program files\eset\rund1132.exe。

3、将下列红字内容复制到记事本窗口，保存为Fix.reg:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\C07ft5Y\WinXP*test]

4、双击Fix.reg，将其导入注册表。

注：那个C:\windows\system32\norton.sys运行后已被top.exe自行删除。不要再找它了。

瑞星卡卡安全论坛