老豆老逗 - 2007-1-10 13:45:00
今日发现新病毒,破坏系统和应用软件,程序图标变成下图模样,试过熊猫烧香、威金等各种杀毒工具(包括安全模式),请高手援助!急急急!
附件:
8177732007110133646.JPG
不言放弃 - 2007-1-10 13:55:00
【回复“老豆老逗”的帖子】
病毒名称?
病毒文件名称与路径?
老豆老逗 - 2007-1-10 14:01:00
只发现有spreader.a和“nimuya”、sxs.exe,其他没发现,试了多种杀毒软件和专杀工具都没有发现其他病毒,但瑞星一装好很快又被破坏了!大部分RAR、EXE等文件图标变成上传图样。
不言放弃 - 2007-1-10 14:04:00
【回复“老豆老逗”的帖子】
主要是这些都恶意木马
会破坏系统执行文件
建议格式化重装系统
或许这样能够彻底的解决问题
OK?
老豆老逗 - 2007-1-10 14:07:00
主要是破坏了比较多的压缩数据备份想恢复,还有就是不知是什么病毒。
阿拉伯伯 - 2007-1-10 14:17:00
扫个Hijackthis日志上来看看吧!
老豆老逗 - 2007-1-10 14:26:00
俺去试试!14:40贴上来!
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 14:32:23, 日期 2007-1-10
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\eSafe\eSafe_monitor.exe
C:\Program Files\ngsrv\epsng_certd.exe
C:\WINDOWS\system32\WDCertM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\eSafeService.exe
C:\Program Files\ngsrv\ngslotd.exe
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\system32\WatchClient.exe
C:\WINDOWS\system32\VrvEdp_m.exe
C:\WINDOWS\system32\ntsd.exe
C:\WINDOWS\system32\vrvsafec.exe
C:\WINDOWS\system32\vrvrf_c.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\simon\桌面\HijackThis1991汉化版\HijackThis1991zww.exe
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RavTray] "C:\Program Files\Rising\Rav\RavTray.exe"
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [Super Rabbit SafeEdit] C:\Program Files\Super Rabbit\MagicSet\SRFC.EXE /Load
O4 - 启动项HKLM\\Run: [eSafeMon] C:\Program Files\eSafe\eSafe_monitor.exe
O4 - 启动项HKLM\\Run: [epsng_certd] C:\Program Files\ngsrv\epsng_certd.exe -r -a
O4 - 启动项HKLM\\Run: [WDCertM] WDCertM.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - 浏览器额外的按钮: 易趣购物 - {DE607144-AC19-424e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607144-AC19-424e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02046E2E-59E3-47F6-B845-410B38B4A4B4} (JITRootCertInstall Control) - http://10.1.1.111/1203/installcert/JITRootCertInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{422ACF2B-CDF0-4D87-A2E5-983D801FBD8F}: NameServer = 10.133.1.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{422ACF2B-CDF0-4D87-A2E5-983D801FBD8F}: NameServer = 10.133.1.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{422ACF2B-CDF0-4D87-A2E5-983D801FBD8F}: NameServer = 10.133.1.11
O23 - NT 服务: eSafe notification service (eSafeService) - DMWZ - C:\WINDOWS\system32\eSafeService.exe
O23 - NT 服务: ngSlotDaemon (ngSlotD) - ^_^ - C:\Program Files\ngsrv\ngslotd.exe
O23 - NT 服务: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing)
O23 - NT 服务: VRVWatchServer - Unknown owner - C:\WINDOWS\system32\WatchClient.exe" -service (file missing)
安全防卫 - 2007-1-10 14:59:00
维金变种把样本发给版主
mopery的mail: bin59420@yahoo.com.cn
农夫的mail: 275971291@qq.com
UFO不幸外人 - 2007-1-10 15:02:00
C:\WINDOWS\system32\drivers\spoclsv.exe这个文件发给他们
并且给我一份 1987noodle0158@sina.com
叼根烟睡觉 - 2007-1-10 15:18:00
给你个建议 全盘格式化前用移动硬盘把自己资料拷出来
然后做个新系统把补丁全打上,杀软整成最新的,再把帐户密码设置复杂点,显示所有文件包括系统文件后接上移动硬盘,不让它自动运行,用右键单击打开后把移动硬盘根目录下的 熊猫 AUTORUN SXS 这三个隐藏的文件DEL了 再把自己的资料拷回去 呵呵 俺就是这么做的哈
到目前为止没再中.
老豆老逗 - 2007-1-10 15:18:00
俺没中,是同事中镖!,俺没中毒,俺是瑞星+防火墙+....,中毒比较困难!病毒样本已发!谢谢!
UFO不幸外人 - 2007-1-10 15:45:00
收到病毒,瑞星就可以删除熊猫变种AL,所以你没有种,你可以这么解决问题(比较简单):
把你同事的计算机硬盘拆下来,当复盘挂在你的计算机中,用你的瑞星(最新)进行全盘查杀,数据资料就能保证,只是不要进入他的硬盘盘符,要不你计算机有被感染的危险,删除后备份资料(JPG、RM、RMVB、MP3没有问题,备份RAR和EXE的时候尽量少备份),然后格式化。重新安装操作系统/
© 2000 - 2026 Rising Corp. Ltd.