【警告】近期QQ病毒流行，请不要随意点击连接（我的照片.EXE解决方案） bbs.ikaka.com

绘梦银月 - 2007-10-7 11:08:00

以下是病毒连接：
http://www.ongyub.net.cn/1110.rar
……
http://www.ongyub.net.cn/1119.rar

附件: 5670032007107105735.jpg

流星陨落 - 2007-10-7 11:15:00

瑞星主动防御：（过19.30.60）

创建C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\SYSWIN74.JMP

创建C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WINSYS84.SYS

设置WINSYS84.SYS挂钩

加载C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\SYSWIN74.JMP

加载C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WINSYS84.SYS

流星陨落 - 2007-10-7 11:41:00

产生如下文件

c:\program files\internet explorer\info_ms.sys
c:\program files\internet explorer\plugins\winsys84.sys
c:\windows\system32\avwlbmn.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\csavpw0.dll
c:\windows\system32\hgfs.dll
c:\windows\system32\kafyezy.dll
c:\windows\system32\kapjbzy.dll
c:\windows\system32\kaqhezy.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvdxsbma.dll
c:\windows\system32\msvcr71.dll
c:\windows\system32\mypern0.dll
c:\windows\system32\rarjbpi.dll
c:\windows\system32\ratbfpi.dll
c:\windows\system32\rsztcpm.dll
c:\windows\system32\sidjazy.dll
c:\windows\system32\xyupri0.dll
c:\windows\system32\mfc71.dll
c:\windows\system32\msvcp71.dll
avzxdmn.dll

附件: 5670032007107113106.jpg

流星陨落 - 2007-10-7 11:45:00

解决方法

启动项目－－注册表之如下项删除：
[{8DFA2904-9664-43AE-8929-4347554D24B6}] <C:\WINDOWS\system32\csavpw0.dll>
[{E3F426F6-8634-42A5-A29E-BC694A88FB7D}] <C:\WINDOWS\system32\xyupri0.dll>
[{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}] <C:\Program Files\Internet Explorer\Info_Ms.Sys>
[{2D561258-45F3-A451-F908-A258458226D2}] <C:\WINDOWS\system32\kvdxsbma.dll>
[{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}] <C:\WINDOWS\system32\kafyezy.dll>
[{2A321487-4977-D98A-C8D5-6488257545A2}] <C:\WINDOWS\system32\kapjbzy.dll>
[{28907901-1416-3389-9981-372178569982}] <C:\WINDOWS\system32\kawdbzy.dll>
[{18847374-8323-FADC-B443-4732ABCD3781}] <C:\WINDOWS\system32\sidjazy.dll>
[{4859245F-345D-BC13-AC4F-145D47DA34F4}] <C:\WINDOWS\system32\avzxdmn.dll>
[{66650011-3344-6688-4899-345FABCD1566}] <C:\WINDOWS\system32\ratbfpi.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:\WINDOWS\system32\kvdxcma.dll>
[{57D81718-1314-5200-2597-587901018075}] <C:\WINDOWS\system32\kaqhezy.dll>
[{334345F1-DACF-3452-CB7D-4620F34A1533}] <C:\WINDOWS\system32\rsztcpm.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:\WINDOWS\system32\avwlbmn.dll>
[{2598FF45-DA60-F48A-BC43-10AC47853D52}] <C:\WINDOWS\system32\rarjbpi.dll>
[{A393C2CF-1C26-4309-9765-13B7FDC0F200}] <C:\WINDOWS\system32\mypern0.dll>
[{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}] <C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys>
注意该项[AppInit_DLLs]修改：把<avzxdmn.dll>修改为<>即清空

用置顶帖软件删除以下文件
c:\program files\internet explorer\info_ms.sys
c:\program files\internet explorer\plugins\winsys84.sys
c:\windows\system32\avwlbmn.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\csavpw0.dll
c:\windows\system32\hgfs.dll
c:\windows\system32\kafyezy.dll
c:\windows\system32\kapjbzy.dll
c:\windows\system32\kaqhezy.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvdxsbma.dll
c:\windows\system32\msvcr71.dll
c:\windows\system32\mypern0.dll
c:\windows\system32\rarjbpi.dll
c:\windows\system32\ratbfpi.dll
c:\windows\system32\rsztcpm.dll
c:\windows\system32\sidjazy.dll
c:\windows\system32\xyupri0.dll
c:\windows\system32\mfc71.dll
c:\windows\system32\msvcp71.dll
avzxdmn.dll

秋日里的蓝天 - 2007-10-7 14:52:00

引用:

【流星陨落的贴子】解决方法

启动项目－－注册表之如下项删除：
[{8DFA2904-9664-43AE-8929-4347554D24B6}] <C:\WINDOWS\system32\csavpw0.dll>
[{E3F426F6-8634-42A5-A29E-BC694A88FB7D}] <C:\WINDOWS\system32\xyupri0.dll>
[{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}] <C:\Program Files\Internet Explorer\Info_Ms.Sys>
[{2D561258-45F3-A451-F908-A258458226D2}] <C:\WINDOWS\system32\kvdxsbma.dll>
[{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}] <C:\WINDOWS\system32\kafyezy.dll>
[{2A321487-4977-D98A-C8D5-6488257545A2}] <C:\WINDOWS\system32\kapjbzy.dll>
[{28907901-1416-3389-9981-372178569982}] <C:\WINDOWS\system32\kawdbzy.dll>
[{18847374-8323-FADC-B443-4732ABCD3781}] <C:\WINDOWS\system32\sidjazy.dll>
[{4859245F-345D-BC13-AC4F-145D47DA34F4}] <C:\WINDOWS\system32\avzxdmn.dll>
[{66650011-3344-6688-4899-345FABCD1566}] <C:\WINDOWS\system32\ratbfpi.dll>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:\WINDOWS\system32\kvdxcma.dll>
[{57D81718-1314-5200-2597-587901018075}] <C:\WINDOWS\system32\kaqhezy.dll>
[{334345F1-DACF-3452-CB7D-4620F34A1533}] <C:\WINDOWS\system32\rsztcpm.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:\WINDOWS\system32\avwlbmn.dll>
[{2598FF45-DA60-F48A-BC43-10AC47853D52}] <C:\WINDOWS\system32\rarjbpi.dll>
[{A393C2CF-1C26-4309-9765-13B7FDC0F200}] <C:\WINDOWS\system32\mypern0.dll>
[{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}] <C:\Program Files\Internet Explorer\PLUGINS\WinSys84.Sys>
注意该项[AppInit_DLLs]修改：把<avzxdmn.dll>修改为<>即清空

用置顶帖软件删除以下文件
c:\program files\internet explorer\info_ms.sys
c:\program files\internet explorer\plugins\winsys84.sys
c:\windows\system32\avwlbmn.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\csavpw0.dll
c:\windows\system32\hgfs.dll
c:\windows\system32\kafyezy.dll
c:\windows\system32\kapjbzy.dll
c:\windows\system32\kaqhezy.dll
c:\windows\system32\kawdbzy.dll
c:\windows\system32\kvdxcma.dll
c:\windows\system32\kvdxsbma.dll
c:\windows\system32\msvcr71.dll
c:\windows\system32\mypern0.dll
c:\windows\system32\rarjbpi.dll
c:\windows\system32\ratbfpi.dll
c:\windows\system32\rsztcpm.dll
c:\windows\system32\sidjazy.dll
c:\windows\system32\xyupri0.dll
c:\windows\system32\mfc71.dll
c:\windows\system32\msvcp71.dll
avzxdmn.dll
………………

好像就是猫叔这贴子:木马群

http://forum.ikaka.com/topic.asp?board=28&artid=8376930

流星陨落 - 2007-10-7 15:33:00

恩，对，就是那个毒了，反毒区都是高手，但日志区问题总不能全靠着他们吧

秋日里的蓝天 - 2007-10-7 15:58:00

引用:

【流星陨落的贴子】恩，对，就是那个毒了，反毒区都是高手，但日志区问题总不能全靠着他们吧
………………

有道理,再坚持一下下吧!我很快就会回来的........

过客2007 - 2007-10-7 20:20:00

流星版主的帖子,晚了一点....

我前天就已经中了!

极品虫 - 2007-10-8 13:40:00

刚中昨天汗

极品虫 - 2007-10-8 13:41:00

置顶帖软件哪里???

新手..

极品虫 - 2007-10-8 13:42:00

启动项目－－注册表之如下项删除：

怎么删除

极品虫 - 2007-10-8 13:49:00

呵呵知道了是SGEng

流星陨落 - 2007-10-8 22:27:00

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1.文件名：我的照片.Exe
病毒名：Worm.Win32.PaBug.ag

您所上报的病毒文件将在19.44.02版本中处理解决。

注意：如果您上报的文件损坏或者压缩包有密码保护，会导致我们无法正确分析，请您确认文件正常且压缩包中无密码后再提交。
如有问题，您可以通邮件服务中心与我们联系，详细描述您的问题，并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提醒：为保证收到您的来信，请勿直接回复本邮件!!!
-------------------------------------------------------------
发送邮件：请用IE等浏览器访问网址 http://csc.rising.com.cn
-------------------------------------------------------------

戈壁雪狼 - 2007-10-14 0:57:00

谢谢提醒

sdvqw4512esd - 2007-10-15 13:40:00

笨蛋才会点呢
哈哈
PS：在这里当斑竹
瑞星给好处不？？？
比如免费用他们产品？？？

流星陨落 - 2007-10-17 16:47:00

好处没有，不过我有6套瑞星送的光盘版

瑞星卡卡安全论坛