C盘为 XP系统用娱乐 E盘2003 工作开发使用
感觉有中毒迹象后(前天突发奇想看看XP最少能多少服务就把诺顿卸了,果然一天不要我就中了)
中毒现象,一天弹出一到两次某个私服网页。安全卫士360无法运行下载官方的修复程序 fixtool.exe 无法发现问题。超级巡警无法运行,各种杀毒软件无法安装运行。
病毒发作后,自动下载各种其他病毒如 winfrom.exe kernel32.exe servere.exe infoms.sys 等多种病毒在2003下用诺顿查杀C盘查出4个病毒删除,用超级巡警查无病毒。
重启进XP 进系统后 explorer.exe 错误重启,终于让我发现问题了,原来病毒加载在explorer.exe上。用优化大师查找进程模块
发现加载了 C:\Program Files\Common Files\Microsoft Shared\MSInfo\4CD4F692.dll 文件此文件是看不见的但C:\windows\目录下会有一个 4CD4F692.hlp文件,任务管理器中有时会出现4CD4F692.exe进程。(目前我就在XP下操作,不知道能坚持多久)
conime.exe ctfmon.exe下也会加载这个4CD4F692.dll 文件大小为64KB 如果打开IE 也会加载
继续 发掘此病毒 在kell 掉所有包含 4CD4F692.dll 的进程后,我通过taskmgr.exe 运行ast.exe 终于 4CD4F692.exe 现身,出现在temp目录下。还发现一点每次这个病毒会把系统的显示隐藏文件取消。
因为那个临时目录被隐藏了你无法看见 我进cmd
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>cd\
C:\>cd C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator>attrib -a -h -r *.*
未重设系统文件 - C:\Documents and Settings\Administrator\ntuser.ini
C:\Documents and Settings\Administrator>attrib/?
显示或更改文件属性。
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [
/D]]
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
[drive:][path][filename]
指定要处理的文件属性。
/S 处理当前文件夹及其子文件夹中的匹配文件。
/D 也处理文件夹。
C:\Documents and Settings\Administrator>attrib -a -h -r -s *.* /s
拒绝访问 - C:\Documents and Settings\Administrator\Local Settings\Application Da
ta\Microsoft\CardSpace\CardSpace.db
拒绝访问 - C:\Documents and Settings\Administrator\Local Settings\Application Da
ta\Microsoft\CardSpace\CardSpace.db.shadow
C:\Documents and Settings\Administrator>
这个病毒太狠了,看都不让我看,无法让我提取。我怎么交病毒报告啊。
鉴于目前没有人给此病毒命名,又是本人首次发现的,我给他起名叫 温柔一刀。。。。。。。。。。
