关于新“随机8位数字”病毒 bbs.ikaka.com

baohe - 2007-11-3 15:30:00

所谓“随机8位数字”是指这堆病毒的主体文件名由“随机8位数字”构成，两个.exe，两个.dll，均位于%system%文件夹中。两个.exe均以服务加载；两个.dll插入所有进程中（包括系统核心进程）。

此附件是中招后的SRENG日志所见异常内容。

[用户系统信息]Opera/9.24 (Windows NT 5.1; U; zh-cn)

附件: 1558472007113151949.txt

baohe - 2007-11-3 15:31:00

下面三个附图显示的是搜索到的病毒释放的文件。
注意：
1、多分区硬盘以及插在中招电脑上的移动存贮设备的各根目录下也有病毒文件autorun.inf和auto.exe。
2、搜索到的病毒文件中未见C:\windows\system32\75A1555E.EXE。但SRENG日志中可见到这个。删除文件时，不要漏掉它。

图1

附件: 1558472007113152026.jpg

baohe - 2007-11-3 15:31:00

图2

附件: 1558472007113155720.jpg

baohe - 2007-11-3 15:32:00

图3

附件: 1558472007113155741.jpg

baohe - 2007-11-3 15:32:00

杀毒流程：

1、用XDELBOX删除上述三个图所显示的所有病毒文件。
2、重启后，用SRENG删除病毒添加的注册表内容。

天月来了 - 2007-11-3 16:01:00

这病毒文件太多了。

很难完全清理，可以在主病毒清理完后，去重装系统，要舒服的多。

否则残余病毒垃圾文件很难处理的。

太多太多了。

会弄的可以按照日期，搜索出来这些，但是有时也不能完全清理。

newcenturymoon - 2007-11-3 16:14:00

就是 auto.exe吧...
流行了N长时间咯

孤独更可靠 - 2007-11-3 16:36:00

猫老大,我来学习了

我以为是AV终结者又更新了

PS:这病毒流传面挺广的

我身边的朋友也中了

:(

千年·圣 - 2007-11-3 17:31:00

再发些基础的教程吧，照顾一下初学者。

zhongzhi - 2007-11-3 18:37:00

那二个成双成对插入进程的，最不是东西。为何这个下载器搞出这么多病毒文件？

′洋葱头 - 2007-11-3 20:50:00

‫用**来辅助就行了！

mopery - 2007-11-3 21:01:00

auto.exe

[2F8D2C8E / 2F8D2C8E][Stopped/Auto Start]
<C:\windows\system32\75A1555E.EXE -k><Microsoft Corporation>
[AB150B13 / AB150B13][Stopped/Auto Start]
<C:\windows\system32\E2DBFBF3.EXE -k><Microsoft Corporation>
服务以及文件名应该是固定的..

运行后联网会下载 update.txt 保存至ie临时文件夹..

根据update.txt 内容下载病毒..

日不懂啊 - 2007-11-3 21:48:00

看来是最新的AUTO变种了

多了k数字.exe这些个东西~~~~

顶猫叔~~

AUTO.EXE流行了很久了，中毒范围很广啊
瑞星08可以防住，但是一但中了，瑞星没有反击的能力...

农民子弟 - 2007-11-3 23:20:00

我怎么感觉有点象av终结者呢。呵呵，下个专杀试试。

Aasetup - 2007-11-4 12:55:00

我是新手学习了猫叔这贴后

SRENG日志、XDELBOX与难缠病毒的处置【XDELBOX已经更新到1.6】
http://forum.ikaka.com/topic.asp?board=28&artid=8381032

再对付这种病毒就容易了, 起码能删除破坏病毒运行. 对于完全清除还是得等高手们发病毒的测试帖才行. 所以谢谢猫叔 (4个字偶已经发了N遍了但觉得还是得发)

没有梦想的男人 - 2007-11-4 12:58:00

auto.exe变化不大.清理方法跟以前一样.不过来反病毒区求救的最近好像中这病毒少了.大多是关于2008瑞星问题.

我心永恒2007 - 2007-11-4 15:30:00

猫叔辛苦啦

我心永恒2007 - 2007-11-4 15:30:00

翻页了

haohe的fans - 2007-11-4 16:59:00

这个病毒为什么不来个伪装呀，这病毒作者………………（太笨了，那么显眼的病毒文件的名字一看就知道不是“普通”的文件），不过还是鄙视那些给电脑世界带来灾难的人（指做病毒的人）

易尔一 - 2007-11-4 17:10:00

谢谢拉

易尔一 - 2007-11-4 17:10:00

谢谢

段花羽 - 2007-11-4 19:36:00

~~我们老师我们在DOS窗口下用：
kill -F 进程名加-F参数后强制结束某进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

del -F 文件名加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件，/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件，“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件

这对我们删除掉那些自动出现在窗口的对话框很有用，那天老师示范的时候，我对老师的印象全面改观了，原来我们老师也是高手呀！

shjarthur - 2007-11-4 21:07:00

周五晚上刚给舍友查杀了这种病毒～
感觉auto病毒并不是很难手工查杀
auto不会加驱动，这就好办很多，要在驱动里找倒是很麻烦的

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
这个在实际处理中用xdelbox只找到一个病毒体：LYLoader.exe，其他的都没有文件，不知道为什么？？？

似水K无名 - 2007-11-4 22:18:00

看不明白,我现在好象是重了这种病毒.谁能告诉我简单的删除方法.我的机子装了一键恢复那个.以前中了毒瑞星搞不定的话就直接一键恢复C盘再删除D E F盘所有内容.但昨天我和他战斗了一天一夜了.搞不定!55555
电脑小白的苦衷!!!

秋叶濛濛 - 2007-11-4 22:28:00

Microsoft Corporation,
这数字签名挺逗的

xiaoshzi - 2007-11-5 9:34:00

在u盘里先建立一个AUTORUN.INF文件夹。然后取消所有用户的权限，这样可以防止U盘被感染，即使有病毒进来了也不会自动运行

丫　　丫 - 2007-11-5 11:14:00

学习了，不过和难度也太大了，用瑞星吧

pigboy - 2007-11-5 11:45:00

哎真是没话说

Heuro - 2007-11-5 15:07:00

问一下，这种病毒在硬盘重分区，系统重装后还会马上重新出现吗？　如果是的话，这病毒是从哪里释放出来的呢？　奇怪，太奇怪了。现在的病毒太厉害了。

瑞星卡卡安全论坛