stevenhui - 2008-3-19 13:25:00
症状:
卡卡社区打开自动连接到www.yahoo.com.cn但页面是百度的.
安全360.卡卡助手无法打开
rising主程序,防火墙都无法打开
D,E生成gbk.com aoturun.inf(内容指向gbk.com)删除后马上重新生成.C.F下未发现.
进程多个IEXPLORE.EXE并有一动态进程数字开头,但数字不停的变!
从资料上看非常象AV终结者的变种.也有解决方法但是十分的麻烦,不知道各位大侠有 没有比较简单的方法.最好是有个专杀工具,杀了后重新装系统!
先谢谢了
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
stevenhui - 2008-3-19 13:30:00
【回复“stevenhui”的帖子】
难道就是磁碟机吗?
某些症状是一样的,C盘下生成MSDOS.LOG等文件
不止到现在有没有转杀工具!
baohe - 2008-3-19 14:56:00
【回复“stevenhui”的帖子】
gbk.com————打包发上来。帮你看看这个病毒怎么杀。
stevenhui - 2008-3-19 15:26:00
| 引用: |
【baohe的贴子】【回复“stevenhui”的帖子】
gbk.com————打包发上来。帮你看看这个病毒怎么杀。
……………… |
GBK.COM和aoturun.inf见压缩包!本来E盘GBK是955K因疏忽把D盘的考过来压缩的时候覆盖了只有34K了
附件:
5396202008319151431.rar
stevenhui - 2008-3-19 15:27:00
| 引用: |
【baohe的贴子】【回复“stevenhui”的帖子】
gbk.com————打包发上来。帮你看看这个病毒怎么杀。
……………… |
GBK.COM和aoturun.inf见压缩包!本来E盘GBK是955K因疏忽把D盘的考过来压缩的时候覆盖了只有34K了
附件:
5396202008319151507.rar
baohe - 2008-3-19 16:11:00
| 引用: |
【stevenhui的贴子】
GBK.COM和aoturun.inf见压缩包!本来E盘GBK是955K因疏忽把D盘的考过来压缩的时候覆盖了只有34K了
……………… |
这个样本貌似有毛病,在我的系统中不能完整运行。
我运行样本后的所见及其处理流程:
1、断网。结束iexplore.exe进程。
2、删除下列文件:
c:\windows\debug\debug.exe
c:\windows\web\css.css
c:\windows\temp文件夹中的所有文件
各分区根目录下面的autorun.inf和gbk.com
注意:以上windows目录及其子目录是指安装在C盘的系统。如果你的系统装在D盘,盘符应为D;余类推。
stevenhui - 2008-3-19 16:24:00
传说中的猫叔吧,谢谢了先
我先实验下,
普通各分区删除后马上又有
安全模式失败
RISING所有程序无法运行
360.RAS等安全程序都无法运行!
silences - 2008-3-19 17:28:00
用冰刃吧 强制删除
天月来了 - 2008-3-19 17:52:00
扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。
小企鹅S - 2008-3-19 20:01:00
先用这个解决autorun.inf,再想别的。
清除机理:
1.先删掉autorun.inf
2.建立一个名为autorun.inf的空文件夹(不要删除)
附件:
9754992008319194922.rar
小企鹅S - 2008-3-19 20:01:00
小企鹅S - 2008-3-20 21:28:00
样本被瑞星K了…………
newcenturymoon - 2008-3-20 22:42:00
这个东西应该还感染 htm html asp等网页文件 你看看那些网页文件有否被感染
© 2000 - 2026 Rising Corp. Ltd.