瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 刚刚中招,可能是nimaya的最新变种,提醒各位注意拉!

12   1  /  2  页   跳转

刚刚中招,可能是nimaya的最新变种,提醒各位注意拉!

收藏
nonon
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-01-09
  • 来自:
发表于: 2007-01-09 04:20 | 只看楼主 短消息 资料
字号: 1楼

刚刚中招,可能是nimaya的最新变种,提醒各位注意拉!

本人用的是瑞星2007(一只不断更新),刚才双击realplayer打开,出现一个类似第一次启动的画面(画面为real图标,左下脚信息栏显示startup).接着就是瑞星警报发现nimaya病毒(可以删除),同时windows弹出错误对话框,点击确定之后,瑞星拦截到一个目录为windows\system32\avhlju.exe的程序欲修改C:中的文件(地址记不清了),点击拒绝修改之后打开任务管理器发现avhlju.exe进程,这时想用瑞星查杀,发现防火墙,杀毒主程序,瑞星上网助手三个软件都没法启动,在强制结束该进程后才回复正常!
  后来我有通过其他方式打开realplayer(如直接双击关联的视频文件等),上述问题没有发生.real工作正常.但是重新试着直接双击打开有出现上述问题!
  这才赶紧上网baidu一下,发现还没有avhlju.exe的相关信息,郁闷!难不成我成了第一个炮灰!
  不知各位同仁有无类似经历,希望及时回复联系.当然希望最好有人已经解决!
  在下跪求高人救命,不胜感激!

  另外我下载瑞星的瑞星专家服务系统-标准版,用在网站定购的用户名和密码登陆不上(显示无此用户),这又是为何,这里有无瑞星客服,希望给予回答.谢谢!
最后编辑2007-01-09 21:28:40
分享到:
gototop
 
afkp4e7
头像
叱咤花甲狮
  • 帖子:2684
  • 注册: 2006-12-01
  • 来自:
发表于: 2007-01-09 09:40 | 短消息 资料
字号: 2楼

这里没瑞星客服找客服去在线支持版块
熊猫一向很专一spoclsv
gototop
 
nonon
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-01-09
  • 来自:
发表于: 2007-01-09 14:11 | 只看楼主 短消息 资料
字号: 3楼

我在瑞星给出的病毒文件的地址windows\system32\下载人工查找发现没有这个文件,随后扩大范围全盘搜索(关键字为avhlju),最后终于在windows\Prefetch目录下找到名为AVHLJU.EXE-135336BB的文件,真是郁闷,难道瑞星出问题了!
请高手指教!
gototop
 
afkp4e7
头像
叱咤花甲狮
  • 帖子:2684
  • 注册: 2006-12-01
  • 来自:
发表于: 2007-01-09 14:16 | 短消息 资料
字号: 4楼

windows\system32\avhlju.exe
这个文件应该还在
搜得时候记得加上系统文件夹和包含隐藏文件
可以用acdsee或IceSword来找这个文件
建议扫个日志贴上来
gototop
 
nonon
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-01-09
  • 来自:
发表于: 2007-01-09 14:46 | 只看楼主 短消息 资料
字号: 5楼

啊~~
病毒自动隐藏自己(其他隐藏文件可以看见)!
注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中
checkedvalue的值改为0
我好累啊!
gototop
 
afkp4e7
头像
叱咤花甲狮
  • 帖子:2684
  • 注册: 2006-12-01
  • 来自:
发表于: 2007-01-09 14:50 | 短消息 资料
字号: 6楼

隐藏IceSword也能看见
导入修复一下
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="隐藏文件和文件夹"
"Type"="group"
"Bitmap"="C:\\WINNT\\system32\\shell32.dll,4"
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="不显示隐藏的文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
gototop
 
nonon
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-01-09
  • 来自:
发表于: 2007-01-09 16:35 | 只看楼主 短消息 资料
字号: 7楼

又折磨了我几个小时~~

下面是病毒情况最新报告:
病毒十分顽强,不断变种更名,现在发作的方式主要有两种,1.透过之前主题贴说过的realplayer  2.用flashget下载文件,当弹出自动下在对话框时中招

中招后瑞星病毒警报,然后可以在任务管理器中找到*.exe的病毒进程(名字在重新发作后自行更换,基本为6个小写英文字母组成).至此,用iceSword查看文件信息发现在很多文件夹,及分区根目录下有sxs.exe, _desktop.ini, autorun等文件被重新创建(之前用iceSword手动删除,呜呜~真是白费力气!),注册表再次被修改,隐藏文件无法查阅!

情况目前大概就是这样,由于不只是什么病毒,更不知道从何灭掉源文件,所以手工修复后情况又不断反复,真是头都大~~~~~~~~~~~~~~~~~~~~~了!大师们,救命啊~~~~~~~~~~~!!!!!!

瑞星对此根本毫无办法!
gototop
 
nonon
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-01-09
  • 来自:
发表于: 2007-01-09 17:06 | 只看楼主 短消息 资料
字号: 8楼

发错~
gototop
 
安全防卫
头像
飘泊而立狮
  • 帖子:699
  • 注册: 2006-01-14
  • 来自:
发表于: 2007-01-09 17:38 | 短消息 资料
字号: 9楼

sxs.exe八月病毒
_desktop.ini应该的维金病毒感染文件生成的垃圾文件
gototop
 
安全防卫
头像
飘泊而立狮
  • 帖子:699
  • 注册: 2006-01-14
  • 来自:
发表于: 2007-01-09 17:39 | 短消息 资料
字号: 10楼

载地址:http://www.kztechs.com/sreng/sreng2.zip
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描--扫描--保存报告
4 把日志中的报告完整拷贝贴上来
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT