回收站里报Hack.Exploit.Win32.MS08-067.hd病毒,清了会不定时重复出现
我在内网的XX.XX.XX.125#机器(问题机,xp_sp3系统,已装瑞星,升级至最新)上D盘一个目录,比如说是:
d:\业务部文件
做了一个完全共享,同网段内有访问权限的机器(知道用户名和访问密码)有三台,分别是229#(winxp_sp3_系统正常,不上外网),126#(从来不上外网,win2000_sp4),86#(winxp_sp3_系统正常,新装机,上外网)。126#及86#机器在[资源管理器]中已对[url=file://\\XX.XX.XX.125\d:\]\\XX.XX.XX.125\d:\[/url]业务部文件 做了驱动器映射,做成一个象本机硬盘,方便操作。这三台机器可以对共享的目录中文件做查询、更改。125#机操作人员因使用习惯所致,经常这样:双击桌面上的[我的电脑]-双击D:-双击[业务部文件],好象这之后,在
d:\业务部文件
下就会出现一个文件:autorun.inf,一个目录:RECYCLER,假回收站里有一个目录:S-5-3-42-2819952290-8240758988-879315005-3665,下藏一个文件:JWGKVSQ.VMX,我现在于另一台机器上把此文件打开,瑞星会报发现病毒:
Hack.Exploit.Win32.MS08-067.hd
但125#机从来没发现病毒,125#机已经打了ms08-067补丁。在安全方式下查,什么也没有。有时连几天都不出这个问题,有时每天都有,由于我不能每次都发现这样操作会导致的后果,我来重复这个操作,却没发现病毒。不知道125#机主到底操作上有什么和我不同的地方。我每次都是用资源管理器,左栏打开文件目录,即使机器或U盘有自动运行的病毒文件也不怕。附:出问题的文件,压缩了二个文件,要打开请先保证机上有防毒。明天到那台机器上扫个log来。
好多天后,发现还是有台机器,本来作为服务器用的,不知怎么进了毒:
把硬盘外挂至安全机器查,系统目录下有二文件感染:
Hack.Exploit.Win32.MS08-067.hd
Trojan.win32.generic.11e9c462
二个,清除后正常。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
