关于emu1e,注意是"１",不是"l"

初生襁褓狮

帖子:25
注册: 2008-08-30
来自:

发表于： 2008-09-05 21:29 | 只看楼主 短消息资料

字号：小中大 1楼

C:/program files下出现了这个仿电驴的文件夹.其下filelist文件下每过段时间就会出现几百个携带病毒的RAR文件,似乎是自动下载的,但使用瑞星查杀无果.
有高手知道这是啥病毒,怎么处理吗?

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

高贵耄耋狮

帖子:27207
注册: 2007-11-17
来自:蜀山仙剑派

发表于： 2008-09-05 21:31 | 短消息资料

字号：小中大 2楼

回复：关于emu1e,注意是"１",不是"l"

楼主上传几个样本瞧瞧
要不瑞星不能加病毒库的

看看日志吧
1.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

2.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

3.为了最大程度减少对病毒的误判，和对病毒准确定位，最好同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/

金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告

（4.如都以上软件无法正常运行
尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527）
如2.6的能用，还是用2.6的

5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒区.已发帖请跟贴，勿另开新帖。

运交华盖欲何求，未敢翻身已碰头；
破帽遮颜过闹市，漏船载酒泛中流。
横眉冷对千夫指，俯首甘为孺子牛；
躲进小楼成一统，管它春夏与冬秋。

holdface 初生襁褓狮帖子:25 注册: 2008-08-30 来自:	发表于： 2008-09-05 21:40 \| 只看楼主短消息资料字号：小中大 3楼回复：关于emu1e,注意是"１",不是"l" 自动下的RAR文件刚删了... 附件: SREngLOG1.log (2008-9-5 21:40:03, 34.26 K) 该附件被下载次数 8

初生襁褓狮

帖子:25
注册: 2008-08-30
来自:

发表于： 2008-09-05 21:43 | 只看楼主 短消息资料

字号：小中大 4楼

回复: 关于emu1e,注意是"１",不是"l"

==============================================================
金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间: 2008-09-05, 21:47
诊断平台: Windows XP [5.1.2600] Service Pack 2
IE版本: Internet Explorer V6.0.2180.2900
计算机物理内存: 766(MB)
当前可用内存: 402(MB)
硬盘总大小: 37(GB)
硬盘可用空间: 9(GB)
清理专家版本: 2008.08.12.553
恶意软件库版本: 2008.08.06.1
漏洞库版本: 2008.08.14.1

==============================================================
启动文件夹位置
==============================================================
Common Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup: C:\Documents and Settings\face\「开始」菜单\程序\启动
Common Startup: %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
[AppMgmt] [已启用] <%SystemRoot%\System32\appmgmts.dll>
[HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>

==============================================================
驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
[msacm.lhacm] [已启用] <lhacm.acm>
--------------------------------------------------------------
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
[oreans32] [已禁用] <\??\C:\WINDOWS\system32\drivers\oreans32.sys>
[sptd] [已启用] <System32\Drivers\sptd.sys>
文件路径: C:\WINDOWS\system32\Drivers\sptd.sys [文件无法访问]

holdface 最后编辑于 2008-09-05 21:45:32

aaccbbdd 高贵耄耋狮帖子:27207 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-09-05 21:46 \| 短消息资料字号：小中大 5楼回复：关于emu1e,注意是"１",不是"l" 晕金山日志呢？病毒文件呢貌似没病毒运交华盖欲何求，未敢翻身已碰头；破帽遮颜过闹市，漏船载酒泛中流。横眉冷对千夫指，俯首甘为孺子牛；躲进小楼成一统，管它春夏与冬秋。

holdface 初生襁褓狮帖子:25 注册: 2008-08-30 来自:	发表于： 2008-09-05 21:52 \| 只看楼主短消息资料字号：小中大 6楼回复：关于emu1e,注意是"１",不是"l" 刚自动下的那些ＲＡＲ文件我ＳＨＩＦＴ＋Ｄ全删除了．．．要不我把这个仿电驴的文件整个上传到可以文件区？？

高贵耄耋狮

帖子:27207
注册: 2007-11-17
来自:蜀山仙剑派

发表于： 2008-09-05 21:56 | 短消息资料

字号：小中大 7楼

回复 6F holdface 的帖子

文件要压缩后才能上传
对
疑似文件上传到可疑文件交流区

这个文件就上传到这里我看看

运交华盖欲何求，未敢翻身已碰头；
破帽遮颜过闹市，漏船载酒泛中流。
横眉冷对千夫指，俯首甘为孺子牛；
躲进小楼成一统，管它春夏与冬秋。

holdface 初生襁褓狮帖子:25 注册: 2008-08-30 来自:	发表于： 2008-09-05 22:03 \| 只看楼主短消息资料字号：小中大 8楼回复：关于emu1e,注意是"１",不是"l" 发到可疑文件区了.5个分卷

吴卉论坛实习生帖子:23 注册: 2008-07-06 来自:	发表于： 2008-09-05 22:14 \| 短消息资料字号：小中大 9楼回复：关于emu1e,注意是"１",不是"l" 用windows清理助手就可以搞定，最好运行前改下名字，杀完了注意用windows清理助手把host也恢复了

holdface 初生襁褓狮帖子:25 注册: 2008-08-30 来自:	发表于： 2008-09-05 22:27 \| 只看楼主短消息资料字号：小中大 10楼回复 9F 吴卉的帖子很遗憾windows清理助手貌似没什么效果,用过了

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于emu1e,注意是"１",不是"l"

[求助] 关于emu1e,注意是"１",不是"l"