上着上着网页,发现360安全卫士提示安装系统服务Windows_Marketplace
文件来自c:\windows\Windows_Marketplace
我立刻意识到好像是中毒了,打开了任务管理器,发现了calc.exe,iexplore.exe
是个计算器的图标,但是我没有启动计算器,又联想到某英文网站提供的漏洞信息
(微软尚未提供补丁),中毒了!!
我立刻打开了冰刃,重命名.com,好在程序还能运行,点了下系统检查,系统没有发现任何异常
(作者够牛B),然后点了下"监视进线程创建",发现问题了
据日志反映,应该是网页病毒通过iexplore后台下载了病毒,然后修改了calc.exe,通过此程序
漏洞,安装Windows_Marketplace服务,随后将normaliz.dll插入lsass.exe进程,保护后台下载
首先应该结束掉iexplore.exe!我通过冰刃结束了iexplore.exe,没想到自动又运行了!
对了,先通过冰刃禁止掉创建进线程,ok,calc.exe,iexplore.exe程序被顺利办掉
接下来,就是要替换掉calc.exe和其目录下的cacls.exe,这个病毒及其狡猾,如果直接删掉,
就会自动恢复,如果删掉后创建同名文件夹,则会更改为另外的文件名
只好使用批处理了
del normaliz.dll
mkdir normaliz.dll
恩,又被病毒改名了,趁病毒修改为OLD3A.tmp的时候,在禁止掉进线程创建,让它卡死
哈哈,成功搞定,用同样的方法整掉了cc1.txt(打开以后发现是些网址,估计是病毒配置代码)
calc.exe\cacls.exe
下面不知道该怎么做了
请高手指明分析,附病毒源文件\sreng日志和病毒源地址(怕病毒作者转移,部分病毒代码已经从网页缓存拷出)
现已经将带毒网址屏蔽
hxxp://v4.acode.ifocus.cn/v1/0.jshxxp://v4.acode.ifocus.cn/v1/hxxp://iiegf.com/10/yt11.htmlhxxp://www.4fwm.com/dpmain/common.jshxxp://iiegf.com/10/index.htmhxxp://www.asp-htm.cn/cs.js没用杀毒软件杀,可能是还有病毒,关闭与网页相关的程序的时候提示错误不能为read请高手分析
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; GreenBrowser)
