中了个比较郁闷的木马~目前还不知道怎么启动的~~
首先崩溃下~周日到今天一直还在困惑~~~
这个病毒的来源怀疑是通过FLASH的漏洞下载的。。。因为装了这个系统以后还没有更新FLASH的插件~是番茄花园版的XP SP3~
病毒的表现就是
1:开机以后会运行“C:\windows\system32\mssetdk.exe” 任务管理器里面 显示用户名是"system",system32目录下生成文件mssetdk.exe和mssetd.dll,而且在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]下面生成"AppInit_DLLs"="mssetd.dll",即便这个文件和注册表键值被删除,任然会被创建,而且在所有启动项目里都查找不到,开机器以后还会启动
2:进安全模式以后和上述情况一样~只是换成另外两个文件。。。
以上文件确实会被360查出并且删除。。。这个没问题~只是重启以后还会有~我想这个不是根本的问题~ :(((((
3:开机器以后SVCHOST.exe文件会访问网络“
http://a.llxslaile1.com/cn/”([58.53.128.127])下载病毒1.exe~26.exe?反正很多。。。还好都被NOD32给咔嚓掉了。。。但是这个SVCHOST文件如何启动这样的操作让我也很是纳闷。。。查看SVCHOST文件没有建在其他文件夹下,只有system32下面一个~迫于无奈我就装了个防火墙~是可以阻止病毒下载了。。。但是启动以后SVCHOST其中一个进程就会内存飙升~一直到100M以上~CPU100%~结束掉这个进程以后XP的主题就退出了~又成了原来WINDOWS的主题像WIN2003那样~但是结束掉以后并不会再下载病毒了。。。
4:我检查了启动的服务~并没有看出什么异常~用windows服务管理专家查看~也没有发现哪个服务器启动的程序有问题~很是郁闷。。。起初所有盘下面都有autorun.inf那个文件,删除以后就再没出现过,后来发现每个分区的根目录下面都有一个1G大文件~未知扩展名~那个也删除没再出现~只是现在前面三种情况还在继续出现。。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; CIBA; MAXTHON 2.0)
