注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

最近,多个客户那里出现了一种新型病毒,该病毒用 瑞星,卡巴,江民,金山,木马克星和网上的其他非主流杀毒软件都查不出,但是在资源管理器的进程中可以明显的看出来.

主要后果是导致网络阻塞;CPU占有率不高,但所有软件运行非常慢;一旦上网,就不断从网络中下栽多中木马及病毒进入WINDOWS文件夹和SYSTEM32文件夹,并在SYSTEM32文件夹中建立新的文件夹,并在进程中多出SVCHOST.EXE,CSRSS.EXE,SMSS.EXE等进程,并且杀毒软件无法将它们确认为病毒.

最牛的是:重装系统,无法清除;格式化也无法清除;重新分区格式化仍然无法清除; 最多一天,有会出现病毒.

现在最有效的清除方法是,关机,断电,取出主板电池,主板放电,然后开机从光盘引导,重新分区格式化,再重装系统.病毒才清除掉.- -! 累啊!!! 3天才搞定了4个客户的这种中毒状况. 之前我为这种病毒头疼了一个月了!!!!! 希望大家不要中上这种病毒啊!!!

PS:要注意的是,这种病毒发作只针对直接用猫拨号上网,或用路由上网的,但是设置了虚拟服务器的机器上才会中!!!!

作者： 61.184.15.*

2008-6-7 11:42 　 回复此发言

2

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

有一点补充的,杀毒软件可以查出病毒从网络出下载到本机的的病毒,但是杀不完,因为SYSTEM32下会不断出现新下载的病毒!

另外,这个可恶的病毒制造者还在不断更新病毒版本,现在新中的病毒会在进程中出现很多52251436.EXE进程,杀毒软件不认识他们,今天又变了,变成11.EXE了, 每天进程中的病毒名称都不同,但是却一眼都可以看出来该进程绝对不正常!!!

作者： 61.184.15.*

2008-6-7 11:51 　 回复此发言

3

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

有这样的病毒？着这个病毒的人还真是厉害啊！

作者： 由来有趣stella [url=http://img.baidu.com/passport/space_open.gif][/url]

2008-6-7 12:09 　 回复此发言

4

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

我开机后

就与这个弹出来:

框名:16位MS-DOS子系统

C;\WINDWS\system32\ctfmon.exe

NTVDM CPU 遇到无效指令

CS:0550 IP:c7 58 3c df e4 选择"关闭”终止应用程序

LZ 是不是这个啊

你说的好吓人哦

是的话还有什么简单的方法啊

作者： 578610084

2008-6-7 12:55 　 回复此发言

5

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

不是这个病毒，我说的这个病毒，实际上是一个恶意代码，这个代码却从网上不断下载病毒，主要驻留在内存和主板上的，中的人比较少，但是破坏持久性比较长，主要是新机器最容易中！！！

下载的病毒多种多样，主要以木马为主，有灰鸽子变种，机器狗变种，磁碟机变种等病毒，现在的杀毒软件和专杀工具却杀不了，因为病毒更新太快了 ！！！怀疑是某人实验病毒威力所做- -！

作者： 219.138.46.*

2008-6-7 14:56 　 回复此发言

6

回复:(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

这毒我中过 太猛了害我开机都要好几分钟 卡死了

作者： 211.140.16.*

2008-6-7 22:15 　 回复此发言

这条留言是通过手机发表的，我也要用手机发表留言！



7

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

你把这未知的病毒文件上报啊，上报给瑞星，江民等，肯定会有结果。

作者： 东风呼啸 [url=http://img.baidu.com/passport/space_open.gif][/url]

2008-6-8 07:06 　 回复此发言

8

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

都已经上报了,没有用,今天 病毒有更新了, 进程中新出现了VNET.EXE feilong2.exe,kangyi.exe,前几天的那几个病毒进程杀了就再也没有出现过,你们也注意一下!

作者： 61.184.2.*

2008-6-9 12:23 　 回复此发言

9

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

另外，在运行SOCKET的时候 ，会出现 “ 一个已死的网络” 对话框，不能上网，进入局域网会出现局域网瘫痪的现象！！！！

作者： 61.184.2.*

2008-6-9 12:27 　 回复此发言

10

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

大家注意，kangyi.exe，难道病毒也有政治倾向？

作者： 61.184.2.*

2008-6-9 12:34 　 回复此发言

11

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

病毒直接用文本打开,可以看到部分文字显示内容, 帖出来给大家参考下

MZ    @ ? ???L?This program cannot be run in DOS mode.

Vnet Windows Media Vnet 允许 Windows Media Center 扩展器设备查找并连接到计算机 S Dr is Error

GD %s

Send Dir is Error

GF *.* GetDir is ok

文件属性:%s size:%d

FN 正常

只读

隐藏

FN文件创建时间:%4d-%02d-%02d %02d:%02d:%02d

文件长度:%dKB

文件属性: 已下载:%dKB

当前文件大小:%dKB

拷贝次数:%d

文件大小:%dKB

fo error!

rb+ wsadate error! WSAStartup error!

~MHz HARDWARE\DESCRIPTION\System\CentralProcessor\0 完美压力测试 ab+ c:\bot.txt 已over!

已停up %d:%d:ud %s:%d

sd error

LL:%s|%d(M)|(%dMhz):%s|%s ProcessorNameString 文件地址:%s

DF HF open SF FIN DEL wb+ %s

BEIZHU ISC 停完

TERT BYCC:%s:%s

BYCC TCPC:%s:%d

TCC ICMP:%s:%d

ICMP TCP:%s:%d

TCP SYN:%s:%d

SYN UDP:%s:%d %d

UDP %sdfie.exe DOWN FUCK x im sxn error!

TC

connect error! socket error:%d

360tray.exe recv error error%d:!

contin tout

rcv:%s :%d:%d

1 2 send error:%d

connect error:%d

GET %s HTTP/1.0

Accept: image/gif, image/x-xbitmap, image/jpeg, image/chpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

If-Modified-Since: Sun, 11 Jun 2008 11:22:33 GMT

If-None-Match: "60794-12b3-e4169440"

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; .NET CLR 1.0.3705)

Host:%s



目标:%s文件:%s端口:%d

未知类型 Windows 2003 Windows Xp Windows 2000 c 15 u|帊彁P啂巄汤. 暅弚悗弶问彣墡叐b汤. POST / HTTP/1.1

Host:%s

Content-Length: 2147483647

> nul /c del COMSPEC %s\%s Vnet.exe System cmd.exe /c taskkill /f /im rfwproxy.exe cmd.exe /c taskkill /f /im rfwstub.exe cmd.exe /c taskkill /f /im rfwsrv.exe cmd.exe /c taskkill /f /im %s Description

J CreateThread ?Sleep 
GetDriveTypeA lstrcpyA FindNextFileA FindFirstFileA ?lstrcatA FindClose


GetFileAttributesA FileTimeToSystemTime FileTimeToLocalFileTime Y
GetSystemDirectoryA ~ ExitThread ?GlobalMemoryStatus D CreateProcessA W DeleteFileA e
GetTempPathA } ExitProcess m
GetTickCount 
GetLastError ?Process32Next lstrcmpiA ?Process32First L CreateToolhelp32Snapshot ?TerminateProcess ?OpenProcess u
GetVersionExA >
GetProcAddress ?LoadLibraryA &
GetModuleHandleA ,ResumeThread ?SetThreadPriority GetCurrentThread wSetPriorityClass GetCurrentProcess
GetEnvironmentVariableA N
GetShortPathNameA $
GetModuleFileNameA GetCurrentProcessId ( CopyFileA ?WinExec lstrlenA hSetFileAttributesA KERNEL32.dll [
RegCloseKey {
RegQueryValueExA r
RegOpenKeyExA x DeleteService G
OpenServiceA E
OpenSCManagerA ?SetServiceStatus ?RegisterServiceCtrlHandlerA 4 CloseServiceHandle ?StartServiceA ?StartServiceCtrlDispatcherA ?RegSetValueExA q
RegOpenKeyA L CreateServiceA ADVAPI32.dll H SHGetFileInfoA r ShellExecuteA SHELL32.dll ?printf ?sprintf Lfclose ]fread bfseek ?_stat Wfopen ffwrite ?strstr Iexit _except_handler3 MSVCRT.dll _exit H _XcptFilter _acmdln X __getmainargs 
_initterm __setusermatherr _adjust_fdiv j __p__commode o __p__fmode __set_app_type _controlfp = WSASocketA WS2_32.dll P
GetStartupInfoA

作者： 61.184.2.*

2008-6-9 12:44 　 回复此发言

15

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

取出主板电池,主板放电，需要多少时间呢？还是说，拆下来，然后装回去就可以了呢？那个病毒是留存在主板的哪个地方呢？

还有那个硬盘，一定要重新分区重新格式化才行吗？

搂主能否留个QQ号，方便请教呢？我是菜鸟，但是，给这个病毒搞死了，帮忙帮忙啊，万分感谢了！

作者： 219.128.146.*

2008-6-12 11:49 　 回复此发言

16

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

哪有格式化重新分区还杀不死的

作者： 222.92.160.*

2008-6-12 12:21 　 回复此发言

17

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

15楼的，主板放电是将电池安装槽的两个电极断接，最少30秒；并将电池附近的主板记忆跳线，调到清除位置，最少5秒；再将电池放入，并将跳线回位；

硬盘是否全部分区格式化，主要原因是我也搞不清楚病毒究竟藏在哪里，反正 所有杀毒软件都检测不出来，我试过只格式化C盘，还是继续中毒，所以就全盘格式化了！

作者： 58.51.50.*

2008-6-12 16:13 　 回复此发言

18

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

可以这么搞？.........试试！

作者： zhupengxun [url=http://img.baidu.com/passport/space_open.gif][/url]

2008-6-12 16:26 　 回复此发言

19

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

楼主不说我还没发现，现在我才发现我用着花生壳。路由器是cisco的！

作者： zhupengxun [url=http://img.baidu.com/passport/space_open.gif][/url]

2008-6-12 16:34 　 回复此发言

20

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

楼主:谢谢你呀!可是还有点小疑问,

主板放电是将电池安装槽的两个电极断接，最少30秒；并将电池附近的主板记忆跳线，调到清除位置，最少5秒；再将电池放入，并将跳线回位；

这个过程,是否需要把电源打开?还是在断开电源的情况下进行?

还有,如果不搞主板.只把硬盘重新分区和格式化的话,是否能解决问题呢?搞主板的动作,我总是怕怕的.如果带电操作,那就更可怕了.

作者： 219.128.146.*

2008-6-12 17:19 　 回复此发言

21

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

我也中了 恐怖到死 最恐怖的是瑞星等杀毒直接被他屏蔽

作者： 121.31.155.*

2008-6-12 21:12 　 回复此发言

22

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

哇。。。。。无敌了这个病毒 如果 你强行关闭他的进程就会出现系统即将关机的警告框。。。。但是幸运的是那个时间不会动

作者： 121.31.155.*

2008-6-12 21:18 　 回复此发言

24

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

低格看看。。。。

作者： 124.193.88.*

2008-6-12 22:35 　 回复此发言

25

回复:(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

大家别紧张啊,何必格盘呢?杀软被关并不难处理,你进入system32,把taskkill.exe移到别的地方,杀软就不会被关了,因为病毒就是借用它强制杀掉进程的,还有,既然病毒能把自己弄进内存,那么,杀软就必然可以把它除掉,对吧?何不等几天,把病毒报到杀软公司,几天后升级杀就可以了,大不了重装,格盘损失太大了......

作者： 211.96.28.*

2008-6-12 22:38 　 回复此发言

这条留言是通过手机发表的，我也要用手机发表留言！



26

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

哈哈。。。不是吧？放电主板都想的出来，哪用这么壮烈，解决办法太简单了， 我刚搞定，用360文件粉碎机直接灭掉病毒。无法手工删除。

27

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

刚才忘记提醒一点了，注意，先用工具把kangyi.exe这项服务停了，才能删除病毒

28

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

26楼的注意，这个病毒是分区并格式化整个硬盘都无法清除的，杀毒软件没有用的，或者你中的只是一个病毒而已，不是这个下病毒的代码！！！

作者： 219.138.46.*

29

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

主要问题是用了SQL的代理才中的只要上网页就中

作者： 59.46.72.*
30

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

病毒路径C:/WINDOWS/STHPA.EXE

开机启动无显示为脱核病毒变种

常见进程为2147483647

kangyi

等

中毒后结果是劫持杀软和360

后期自动替换WINDOWS文件

然后导致开机启动桌面以及任务管理器失灵

解决方法：

很简单只要改下自己计算机的名字就行了

把默认的ADMIN改成你想改的名字然后设计上密码

病毒自动就运行不了了

有不明白的询问QQ13500810

作者： 59.46.72.*
31

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

还有吧服务里有关打印机的服务全部关闭或者改成手起

作者： 59.46.72.*

32

回复：(注意)一种新型病毒,至今还没有一款杀毒软件能够查出!!!

30楼，没有那么简单，我手动杀毒能力比某些杀毒软件都好，你说的方法我都试过，禁止了一中病毒的运行，又会自动从网络中下载其他种类的病毒，用这种方法，机器勉强使用了一个月，后来导致整个局域网瘫痪后，才重新安装，重新安装后，连上网线，10分钟后就中毒了。如果全盘分区格式化重新安装，则是连上网线20分钟后又中毒了，2个小时后局域网瘫痪；

而这台主机仅仅上了花生壳，其他任何操作都没有进行。我一直在电脑前观察内存进程，10分钟后，内存进程中出现非系统进程，1个小时后，这种进程就有10多个，SYSTEM32下，新建了3个文件夹和10多个其他EXE文件。然后提示系统文件被替换，2个小时后，整个局域网瘫痪，任何机器不能上网，而且所有网络共享打不开，访问不了路由，将这台机器的网线拔掉后，局域网正常了，也能上网了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

建议楼主找个病毒样本发到“可疑文件交流区”交瑞星工程师及高手鉴定……