凯利挂：盗号木马挂加危害级高的电脑病毒 5,(wd
所携带的两中高危害毒如下： lXEr8=M+C
1.Packed.Win32.CPEX - based.zl <K3|?
Jb&Y]r[
此木马在WINDOWS\SYSTEM32目录下自动生成SYSTEM.EXE程序， 4 Z<\YJ#
在安全模式下用360安全卫士查杀以及手工删除后，还会反复感染。 Vq-_y (^
而后会自动生成很多个以数字开头.EXE的执行程序。在系统进程里发现病毒进程都占99%CPU进程。 &kgOZX'o8
电脑运行很慢。重装系统后还会感染。 cz-l~U0
2.backdoor.graybird　　病毒简介 g <C+ ;
Backdoor.GrayBird.ad （ 灰鸽子）服务端 运行后会打开后门端口，等待攻击者的远程控制。 [d=Y)i
如果服务端 采用自动上线配置，通过生成服务端时设定的 URL ，主动连接到远程攻击者接受控制， eyx`S%+L
因为其利用 “ 反弹端口原理 ” ，所以可穿过某些防火墙。 { zZ{c->;L
　　攻击者连接成功后便可 监控服务端屏幕，截获 oicq,icq, 及网络游戏，邮箱， 4e.S:;k$
上网账号等敏感信息，并且具有读写文件，修改注册表功能， 同时还可在服务端开启 Socks5 及 FTP (8.y38 ,
服务，是一种危险性较高的木马 =|M!kg$3
*************************************************** GT~Oj\
大.小姐挂。和小妹挂都是一个作者所带毒也基本一样： ^VzcOIvZ

=jMo0
有两个毒为新毒危害或是否误报不清 I t,Q*r3
DGM <]n2;*
其中都带的一个病毒分析如下： 4B _N*Q
win32.suspectcrc Gwe"m&\n
主要是感染E盘的exe文件若你DNF也在E盘就有危险 yQn3D

DI y*;8[
看到 PE头的 用ff 或2位随机字节,他导出时在改回,有17个本体 可能设计问题,出现多次感染 , 9b+J:\H
无法修复 SMRSiLDH
y3m;" MS
原版(srdriver.exe), 长度:1993072  +-l _mn
感染文件(srdriver.exe), 长度:2615664 Xd6uxl
-----------分解成-------------- =B"NdS3
[1]a1.exe 病毒pe 长度:50638 =R7]o<=+C?
[1]a2.exe 未知pe 长度:1942432 S)(h[pw X
[1]a3.exe 原来exe的部分 长度:65536 $ jc,:0sSO
[1]a4.exe ----到尾都一样一的病毒pe 长度:32768 w(AlW2
[2]a.exe Mh![[D7
[3]a.exe (F8EHR5
[4]a.exe g)}pi9J61;
[5]a.exe uHb<VYO
[6]a.exe D
1G4~1-
[7]a.exe aM5&<'/
[8]a.exe +
} rv:
[9]a.exe 9-#`
[10]a.exe p~vKbgu
[11]a.exe H?k>t,if
[12]a.exe qM 5Y ~
[13]a.exe :15X>*.S-V
[14]a.exe 8Ux;a2V
[15]a.exe /AK+?6
[16]a.exe U*{h!7[I
[17]a.exe m
j!f]m%
2RQF
大概是用病毒自己覆盖了被感染文件前50638字节，然后在被感染文件的[原大小]+1起附带追加了18个自身， =w9#jAV
这样的话无法修复了(srdriver.exe)。 3-%p_2z)
AXY:[Hy
图标模糊是因为病毒会先提取被感染文件图标，覆盖完毕后会自动替换感染完文件的图标导致的 oXXw0e)}}



谢谢高手帮下忙;谢谢了  小弟感激万分

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

使用windows清理助手试下http://www.arswp.com/

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log