瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助,遇到棘手的感染exe的病毒了!!

123   1  /  3  页   跳转

求助,遇到棘手的感染exe的病毒了!!

收藏
zhongfang
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-04-21
  • 来自:
发表于: 2007-04-21 13:38 | 只看楼主 短消息 资料
字号: 1楼

求助,遇到棘手的感染exe的病毒了!!

已被感染的病毒文件激活后,会在C:\Program Files\Common Files\Microsoft Shared\Web Folders目录下生成MSOSVEXT.EXE隐藏文件和MSOSV.EXE文件,若干tempA.exe-tempH.exe以及DLL文件,在..\windows\下生成svchost.exe,还会生成一些其他木马病毒,木马svchost.exe进程启动后会启动几个IEXPLORER.exe进程,并开始感染硬盘内大部分exe可执行程序。手动清理完系统盘内木马病毒后,只要执行其他盘的一些exe文件,就会重新激活病毒,并且这些被感染的exe无法被杀毒软件清除,甚至更本无法检测到,只有执行了带毒程序发生一些系统更改动作的情况后才有反应。这些被感染的exe文件只有自己手动去删除或格式化硬盘才能解决。但是我不能删啊,都是有用的文件啊。。。。。

它还会创建如下注册表启动项
<clgt2xjmw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<7><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> []
<l17t><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> []
<kcl8eu><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<e2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []
<52scxkq><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe> []
<2q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> []

<cmdbcs><C:\WINDOWS\cmdbcs.exe>


谁需要样本找我!


最后编辑2007-05-02 11:45:59
分享到:
gototop
 
csunlucky
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2007-04-21
  • 来自:
发表于: 2007-04-21 13:48 | 短消息 资料
字号: 2楼

csunlucky@qq.com

我看看
gototop
 
虚幻ヱ涟漪
头像
飘泊而立狮
  • 帖子:697
  • 注册: 2007-04-15
  • 来自:已经消失的地方
发表于: 2007-04-21 14:06 | 短消息 资料
字号: 3楼

发样本到:314944969yxr@sina.com
gototop
 
zhongfang
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-04-21
  • 来自:
发表于: 2007-04-21 14:09 | 只看楼主 短消息 资料
字号: 4楼

楼上2位,我已经发了,谢谢
千万小心,解压密码123
保险一点的话在C:\Program Files\Common Files\Microsoft Shared\Web Folders那个目录创建一个文本文件,改名为MSOSVEXT.EXE,把它设置属性为只读,这样的话,你如果点到被感染的文件就不会打开了
gototop
 
勇闯猪罗纪
头像
健康舞勺狮
  • 帖子:256
  • 注册: 2007-03-18
  • 来自:
发表于: 2007-04-21 14:28 | 短消息 资料
字号: 5楼

这个不就是shualai.exe 猫猫写过这类毒的帖子

最主要是清毒后 怎样恢复那些被感染的EXE文件.
gototop
 
zhongfang
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-04-21
  • 来自:
发表于: 2007-04-21 14:30 | 只看楼主 短消息 资料
字号: 6楼

怎样恢复??就是想知道这个答案。。。其他自己都能搞定- -
请赐教!
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-21 14:59 | 短消息 资料
字号: 7楼

引用:
【勇闯猪罗纪的贴子】这个不就是shualai.exe 猫猫写过这类毒的帖子

最主要是清毒后 怎样恢复那些被感染的EXE文件.
………………

shualai 真的不感染文件
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-21 15:00 | 短消息 资料
字号: 8楼

引用:
【zhongfang的贴子】已被感染的病毒文件激活后,会在C:\Program Files\Common Files\Microsoft Shared\Web Folders目录下生成MSOSVEXT.EXE隐藏文件和MSOSV.EXE文件,若干tempA.exe-tempH.exe以及DLL文件,在..\windows\下生成svchost.exe,还会生成一些其他木马病毒,木马svchost.exe进程启动后会启动几个IEXPLORER.exe进程,并开始感染硬盘内大部分exe可执行程序。手动清理完系统盘内木马病毒后,只要执行其他盘的一些exe文件,就会重新激活病毒,并且这些被感染的exe无法被杀毒软件清除,甚至更本无法检测到,只有执行了带毒程序发生一些系统更改动作的情况后才有反应。这些被感染的exe文件只有自己手动去删除或格式化硬盘才能解决。但是我不能删啊,都是有用的文件啊。。。。。

它还会创建如下注册表启动项
<clgt2xjmw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<7><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> []
<l17t><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> []
<kcl8eu><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<e2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []
<52scxkq><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe> []
<2q><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> []

<cmdbcs><C:\WINDOWS\cmdbcs.exe>


谁需要样本找我!



………………

样本 发给我邮箱 newcenturymoon1986@yahoo.com.cn 加密123
或者加我QQ 463216947
gototop
 
zhongfang
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-04-21
  • 来自:
发表于: 2007-04-21 15:05 | 只看楼主 短消息 资料
字号: 9楼

我已经发给你了
会感染
而且我发现一个很有趣的事
就是那个被感染的文件, 我不做任何拒绝动作,让他激活,然后我自己关闭被激活的进程,清理病毒和注册表后,那个EXE文件居然能恢复正常了,好象病毒自动脱离了。
gototop
 
cdyphone
头像
拙长孩提狮
  • 帖子:117
  • 注册: 2006-12-09
  • 来自:
发表于: 2007-04-21 15:21 | 短消息 资料
字号: 10楼

我要我要....
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT