瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

1   1  /  1  页   跳转

我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

收藏
ssyga
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-05-05
  • 来自:
发表于: 2008-05-05 14:33 | 只看楼主 短消息 资料
字号: 1楼

我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

附件: SREngLOG.log (2008-5-6 1:32:42, 37.23 K)
该附件被下载次数 185

电脑病虫名称:W32.Leave.Worm

病虫危害指数:3级


赛门铁克於24日发现一只xxx病虫名为 离开 病虫(W32 Leave.Worm) 。感染这只离开病虫后会被骇客执入后门程式,所以喜欢上聊天室或使用Hotmail, MSN Messenger , ICQ或IRC 的朋友请注意不要随意点选连结。赛门铁克提醒您下载6月25日以上最新病毒定义档。

这只离开 病虫(W32 Leave.Worm)的最大特色在於,电脑用户必须点选在email或聊天室裏的html连结。电脑用户点选这些连结后,电脑会从许多网站下载3到5个档案。一旦这些档案被下载,这些档案会自动执行。并且这些感染的电脑被重新开机或执行ICQ后,这些电脑将会被骇客利用作为操控的工具。

感染途径:点选在email 或聊天室裏的html连结
感染后果:被骇客利用作为操控的工具
怎么杀?有专杀软件吗?
附扫描日记(在附件中)望高手帮忙看看扫描日记,帮忙杀毒,先谢过!!户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59  from: http://bsalsa.com/ )

附件附件:

文件名:SREngLOG.log
下载次数:154
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-6 1:32:42
描述:log

最后编辑ssyga 最后编辑于 2008-05-06 01:32:42
分享到:
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-05-05 14:42 | 短消息 资料
字号: 2楼

回复: 我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

消息闭塞,没听说过,建议:

下载System Repair Engineer扫描工具,地址在:http://www.kztechs.com/sreng/sreng980.zip(右键“另存为”)
日志扫描的操作方法:
1、下载后解压缩,运行SREngLdr.EXE;
2、如果无法打开或提示版过期,尝试修改系统日期为正常,把SREngLdr.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、把日志作为附件传上来。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

看看这个DD感染机器后有何表现……
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-05-18 12:50 | 短消息 资料
字号: 3楼

回复: 我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

发现以下可疑及流氓项目:
------------------------------------------------------------------------------------------
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <XiaoiDesktop><; C:\Program Files\Incesoft\XiaoiAlerts\XiaoiUpdater.exe /hide>  [N/A]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <meetim><; C:\Livim\e20.exe -noflash -noshow>  [Livim LTD.]

服务
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
  <"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><CACE Technologies>

驱动程序:
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>

浏览器加载项
[]
  {672AF8C7-19FA-485A-A82E-2642E15375B6} <E:\新建文件夹\FygIEmon.dll, N/A>
[UUPlayerOCX Control]
  {77910CD3-5447-4CCB-92DE-35BA8198BE81} <C:\PROGRA~1\COMMON~1\uusee\UUPlayer.ocx, >
[ARMP Control]
  {D5CD69C4-F983-46E2-AF79-455E892729FA} <C:\PROGRA~1\COMMON~1\uusee\ARMP.ocx, UUSEE>
-------------------------------------------------------------------------------------
以上蓝色项目为不确定项,请将以下红色显示的文件压缩,并把压缩包发到“可疑文件交流区”鉴定。
C:\Program Files\Incesoft\XiaoiAlerts\XiaoiUpdater.exe
C:\Livim\e20.exe
E:\新建文件夹\FygIEmon.dll
最后编辑超级游戏迷 最后编辑于 2008-05-18 13:14:25
打酱油的……
gototop
 
wawa1719
头像
特邀体验者
  • 帖子:36
  • 注册: 2007-05-16
  • 来自:
发表于: 2008-05-18 18:27 | 短消息 资料
字号: 4楼

回复:我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

请教版主,[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
  <"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><CACE Technologies>
这个一定是病毒嘛?
本帖被评分 1 次
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-05-18 19:02 | 短消息 资料
字号: 5楼

回复:我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!

不一定 

如果安装P2P终结者等等 或者有些校园网  都需要这个 

视情况来看吧    如果日志里发现并没有其他  有时甚至连

[NetGroup Packet Filter Driver / NPF][Stopped/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>这个驱动我都删
不认识我没关系,因为我也不认识你。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-05-19 00:50 | 短消息 资料
字号: 6楼

回复: 我电脑中了W32.Leave.Worm 病毒,望高手帮忙杀毒,先谢过!



引用:
原帖由 wawa1719 于 2008-5-18 18:27:00 发表
请教版主,[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
  <"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini">


本身无毒,但经常被病毒用来当嗅探器使用,是一个比较麻烦的东西,个人建议弄掉……
打酱油的……
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT