瑞星卡卡安全论坛

病毒样本地址：http://bbs.txwm.com/UploadFile/2007-2/200728132235116.rar
典型症状：

1.网内IP冲突。引起断线

2.运行arp-a1次，网关MAC地址就变1次

3.在各个盘根目录生成autorun.inf和setup.exe 2个文件

4.病毒长时间运行后，机器变卡！并且弹出运行7.exe文件错误信息

5.系统出现1.exe和CMD.DLL 等进程

6.打开IE，先经过http://ad.3a.us/……（请勿进，防止中毒）才转入正确网址。或者直接关闭IE！

7.不定时弹出一些sex站（比如http://www.22595.com/sms.htm请勿进，防止中毒）和广告站！

8.网吧部分ip突然不能使用，例如：11号机ip为192.168.1.11，此ip上网上不了，随便更改为其他的，就能上了，改回11还是不能上，重启N遍依然上不了；


本县已有一半网吧有此症状！原因不明......咳！

附件: 840804200728123833.jpg

早台中毒的机子，扫SRENG日志
请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改。

要是SRENG不能运行，后缀名改为.com，再运行

修改IE内核...？？？
大家看下图片.....
社区的最上方...一个广告图片，图片有连接！一点图片就弹出：http://www.86vod.com/index.htm


还自动弹出网页：http://www.22595.com/sms.htm

附件: 840804200728130643.jpg

你贴的任务管理器图中一看就有几个非法进程。

呵呵.......知道`！
不光是进程的问题！
全县的网吧还老是掉线，内网冲突！！！

不是修改IE内核!!

能修改内核的病毒骇客至今也没几个鸟!

只不过是增加了几行内容罢了.

不知,哪位高手愿意前去提取病毒?早日防范/查杀该病毒.....

感激不尽...

试试这个防止ARP工具:

AntiArpSniffer3

每台电脑都安装应该会好点了.

谁要病毒？QQ传你.....加QQ：912390

哈哈`~它还自动修改杀毒软件？？？？？

附件: 840804200728134154.jpg

iceword把注册表清理一遍就可以了

没那么简单....请仔细看帖子！
掉线....程序错误.....内网冲突等....清理一下就好？

我收到过这个病毒的样本，已经上报给了瑞星，楼主要是不急过几天就能杀了

看进程中的那么多
这些状况不一定是一个引起的

扫个sreng吧..这么说都浪费时间.

ding

我去虚拟机
试下

不是熊猫..

貌似 arp

这病毒我还是第一次见喽!!!幸好任务管理器可以打啊..
断网杀毒试试吧.

虚拟机上运行删除自身
什么也不做
高啊

难道是洪水魔兽...

【回复“mopery”的帖子】

mopery终于也现身了.


同意,偶发过ARP工具,提示:

本机欺骗本机.

并且询问一下,是不是卡卡升级了?为什么显示帖子时会断?

示例


|
|
|
.    |
.    |
.    |

不知各位有没有遇到过.

有时出现IE错误,ALG.EXE程序错误不能为:READ

关注这个帖子 学习提高...

我的也中了呀。。。怎么没人顶呀 。。。。。

我这里也全中了呀。。怎么还没解决呀。。。人去哪里了。

顶上去呀。。。别沉了。。

呵呵，那不叫修改内核
在IE的标题栏里面加入了文字
修改注册表就可以实现的

没人来救命呀。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。要哭死了。

顶上去呀，还不出专杀

我的也中了 这个病毒 就一台机器绞乱了整个局域网！！！

De.web可以查杀

附件: 562309200721085733.jpg