电脑上面的所有可执行文件都中毒了瑞星 20.49.51目前查不出来 bbs.ikaka.com

lan8190 - 2008-6-21 17:08:00

现在电脑上所有可执行文件都中毒了，在C:\windows和C:\windows\system32里面都生成好几个可执行文件，在我的电脑上面，文件的名字是
FRBTC66EFPF1.exe H7F8S55SP12V.exe RZVE74G5WZ.exe 9MJNXK1.exe等。
刚中毒的时候，防火墙提示：
程序名称：在线修复kaspersky(未签名)
公司名称：kaspersky lab
程序路径：C:\WINDOWS\system32\9MJNXK1.exe
访问地址：Local:1033 => 58.49.58.20:443[安全WEB访问]
动作：connect(请求连接)
要访问网络，我拒绝之后，还是一直跳出来。此时任务管理器已经打开不了，注册表中的run项都没有了。打开网页的时候，过一会儿会自动关闭。把
系统重启后，瑞星监控就启动不了，但是防火墙能启动。

附件中是个病毒文件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)

附件: H7F8S55SP12V.rar

天月来了 - 2008-6-21 17:13:00

上报瑞星

等杀毒软件更新杀毒。别的没办法。

天月来了 - 2008-6-21 17:21:00

看看这毒对系统都做些什么了。

试试：

扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=403512（点右键菜单“目标另存为”下载）
（因为过期，所以压缩包内包含授权信息了，自己输入后就可以正常使用了。）
（临时的而已，等正式的版本出来，再取消我发的这个授权文件）

1 下载的是压缩包，必须解压缩（建议直接解压到系统Windows文件夹里）
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告（必须保存）

然后直接将日志文件以附件的形式发这论坛来。
点击：我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了。

（注意：SRENG工具的“入口点错误”提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示，可以不管它，请不要为这问题反复询问。）

SRENG工具的一些操作，看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么？
http://bbs.ikaka.com/showtopic-8509685.aspx

lan8190 - 2008-6-21 17:56:00

引用:

原帖由 天月来了 于 2008-6-21 17:21:00 发表
看看这毒对系统都做些什么了。

试试：

扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=403512（点右键菜单“目标另存为”下载）
（因为过期，所以压缩包内包含授权信息了，自己输入后就可以正常使用了。）
（临时的而已，等正式的版本出来，再取消我发的这个

关键现在是中毒以后，所有的安装程序都不能运行，一打开就被病毒关闭，但是已经安装的软件好像没问题，word 这些软件到是没出事！

lan8190 - 2008-6-21 18:28:00

引用:

原帖由 天月来了 于 2008-6-21 17:21:00 发表
看看这毒对系统都做些什么了。

试试：

扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=403512（点右键菜单“目标另存为”下载）
（因为过期，所以压缩包内包含授权信息了，自己输入后就可以正常使用了。）
（临时的而已，等正式的版本出来，再取消我发的这个

附件: SREngLOG.log

天月来了 - 2008-6-21 18:55:00

这里下载360文件粉碎工具，删除那些文件。勾选“阻止被删除文件再次生成”删除。
http://www.360.cn/down/soft_down12.html

删除：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\8AP8OBF.BAT
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\8AP8OBF.lnk
C:\WINDOWS\0TVPWJE.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\GHJ70.BAT
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\GHJ70.lnk
C:\WINDOWS\3C3UFE~1.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\QDGBXPAMK.BAT
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\QDGBXPAMK.lnk
C:\WINDOWS\FERG38~1.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\W7BAG2ZWX7XT.BAT
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\W7BAG2ZWX7XT.lnk
C:\WINDOWS\HVH88P~1.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ZITF9BUDCL1M.BAT
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ZITF9BUDCL1M.lnk
C:\WINDOWS\3Y4LLP.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rsv2.tmp

你其他盘文件暂时不要用了，等杀毒软件看看以后能否清除感染，如果不能清除感染，只能放弃了。

感染型的，无奈的。

你设法用杀毒软件禁止C:\Documents and Settings\All Users\「开始」菜单\程序\启动文件夹的访问和创建文件吧。

如果你那是NTFS文件，就设置那文件的权限限制文件的创建吧。

lan8190 - 2008-6-22 16:34:00

看来只有等瑞星更新才行了，偶电脑有20多G辛苦收集来的软件，还有公司ERP软件！哎！````

轩辕小聪 - 2008-6-22 16:42:00

楼主是如何确定“所有可执行文件都中毒了”的？
请把被感染的可执行文件用WINRAR打包，发到可疑文件交流区。

zg1_2004 - 2008-6-22 17:04:00

该用户帖子内容已被屏蔽

天月来了 - 2008-6-22 17:08:00

你当每个贴都这么回有用呢

猫1猫098 - 2008-6-22 21:35:00

我的情况跟楼主一样开机以后就只有瑞星防火墙可以打开网页就是很快就会自己关闭所有的可执行文件全部杠掉:default12:

live4u - 2008-6-22 22:02:00

我和楼主一样中了这个病毒目前还没搞定不用试安全模式了我都试过了没用的第一次遇见这么厉害的病毒啊！

live4u - 2008-6-22 22:03:00

快点来个高手啊！我都已经3天不能用电脑了！

live4u - 2008-6-22 22:03:00

早知道不买瑞星了每年都花这么多钱一点作用都没先是中了磁碟现在这个还没人告诉我怎么解决啊！郁闷了

chenren121 - 2008-6-22 22:27:00

楼上的兄弟,你跟我一样的命苦啊,我中了这毒什么杀毒软件都查不出来,重做系统都做了不下10次,现在看样子只能把所有的安装文件带EXE的先删掉拉,很舍不的啊,我现在只能用卡巴来做简单的维持工作,基本上凑合还能用,他把病毒的进行文件都阻止拉,但是杀不掉也查不出,全部都在启动项目里,打开启动项目又找不到他们,文件是空的,我也想请高手来解决下这个问题,瑞星软件我也装了正版的,压根就没有用,说百了瑞星公司的人都是吃干饭的,人家卡巴还能抵制下,他瑞星连装都装不上去.,瑞星公司的人要是看了这贴有骨气点就把问题解决,要不以后你们公司的人怎么出去见人啊.发点图给你们看看

chenren121 - 2008-6-22 22:34:00

大哥看都看不见怎么删除啊,能看见楼上的就不会问你拉

chenren121 - 2008-6-22 22:43:00

还要强调下这个病毒的威力,他可以让所有EXE文件都感染,他可以让杀毒软件全部瘫痪,他可以让你进不了安全模式,他可以让你看不到任务管理器,他可以在你重装后全部又重新马上中毒,他能够不停的建立新的启动项,哪怕你勉强装上杀毒软件(重装后开机的前5分钟),他也会让你更新不了病毒库,哪怕更新了病毒库他可以破坏你的病毒库,哪怕你有再厉害的杀毒软件,基本上查不出他的异常,唯一能看见他样子的就是在启动项目里能够见到几个根本就在网上查不到名字的启动项目名称.我现在只是用卡巴在压制根本就根除不了,这毒太厉害了,我玩电脑这么多年地一次看见这么牛的毒,希望高手能早日破解这个毒.还有中毒拉的同胞,你们能做的就是把所有原来用的 EXE文件一个不留的清除掉,这样可能还可以维持几天,要是电脑上的东西都不重要,我觉得最好全部格式化电脑算拉!!!

歪歪2211 - 2008-6-22 22:51:00

我也是，组策略用不了，注册表也改不了，做个新注册文件也导不进去，管理工具里的服务里多了N多不知所谓的服务，还关不了禁用后重启自己又启动了。控制面板里的用户账户也进不去，以前装的软件有的能用，新的根本不能用，任务管理器又用不了，本来还可以用tasklist来查看进程，现在也不能用了,用taskkill命令也杀不了，用瑞星全盘扫描一个病毒也没有，见鬼了

天月来了 - 2008-6-23 8:07:00

回11楼：所有的可执行文件全部杠掉是已经不能运行？还是运行后被删除？？如果是运行后被删除，就和楼主的不一样的。

回12、13、14楼：你那个也不一定和楼主一样，达到破坏安全模式的毒很多。还有你发正常的求助贴了没？？不是严厉的不得了的那种求助贴。呵呵！！还有所有制毒的放出的病毒都是一开始不能杀的，否则你说他还制毒放出来干什么呢？？现在病毒对付杀毒软件还不是简单死了。连卡巴官网都急等病毒样本，你说还能怎么办？

回15、16、17楼：这个随机名释放的病毒，早前一阵见过样本，虽然那时能检测删除所有感染的病毒，但是这毒一直在变种，就象利用QQ目录做文章的那个病毒，一样不断变种，连卡巴和大家喜欢的360主程序，一运行就被删除。这原本杀毒软件就都是跟在病毒后面跑。没办法的。各家都需要即使的上报样本。至于你说的看不到，病毒可能删除了你的系统里显示隐藏文件和系统文件的功能。你可以用解压工具WinRAR依路径打开找病毒文件上报的。不上报永远没办法的。

回18楼，你那也不一定时他们的毒。可能时其他的，可以自己开贴发SRENG日志求助。去流行病毒区。

live4u - 2008-6-23 13:15:00

一句话什么时候可以解决啊！

lan8190 - 2008-6-23 15:31:00

我现在就是天天在线等瑞星了，早点把把这个病毒给杀了！现在把所有软件都禁止访问，然后重做系统，先将就用着，只要不运行那些可执行文件就没事！```:default11: :default11:

天月来了 - 2008-6-24 10:20:00

今天升级后，已可以检测出来了。

lan8190 - 2008-6-24 13:57:00

引用:

原帖由 天月来了 于 2008-6-24 10:20:00 发表
今天升级后，已可以检测出来了。

晕了，检测是检测出来了，不过还修复不了受感染的文件是吗？把我的可执行文件全部隔离了，期望直接清除病毒的升包出来！````:default9: :default9:

天月来了 - 2008-6-24 15:38:00

这个病毒的感染，几家国外的杀毒软件都选择删除感染文件。

应该它的感染就是不可清除的，不可恢复的。

放弃吧。

对于新出的杀毒软件不能识别的新变种病毒，这样的恶意感染，没任何办法的。

还是用户自己一开始防住才好

依赖任何杀毒软件都没办法的。

live4u - 2008-6-24 20:55:00

天月你每个月瑞星给你多少钱啊？

oicq13036 - 2008-6-25 9:02:00

该病毒的特点：感染exe文件，大小不变，但日期变为当前日期。

oicq13036 - 2008-6-25 10:36:00

晕，我今天的升级的病毒库还不能查出来。
是否是另外一个病毒。
！！！附件是感染的病毒！！！！

附件: 10JQKA_SDMB_Build60926.rar

瑞星卡卡安全论坛