瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?

1   1  /  1  页   跳转

[原创] 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?

收藏
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-11 20:47 | 显示全部 短消息 资料
字号: 1楼

有没有人中毒后,GHOST系统后第二天又中了同一种病毒?

我们公司很多电脑中了病毒,GHOST系统后第二天又中了,并且已经将可疑文件全部干掉,很是奇怪这毒这么历害。是不是只要一中,仍然会记住IP进行第二次攻击。最明显的是这两个:

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
最后编辑无忧之树 最后编辑于 2009-04-11 20:52:36
分享到:
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-11 21:11 | 显示全部 短消息 资料
字号: 2楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?

已经将其它盘文件清理了,最有可疑的是QQ目录下的这个。现在上传过来给专业人士。我后来没有办法禁止所有程序从TEMP目录运行、禁止从TEMP文件夹执行脚本,禁止公用程序从TEMP目录运行。禁止在WINDOWS文件夹中创建新的可执行文件,禁止在SYSTEM32文件夹中创建新的任何文件才好了。建议瑞星在软件中也增加一些类似用户自定义设置在病毒库无法对付新病毒时保护用户。

附件附件:

文件名:455.rar
下载次数:162
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-11 21:11:07
描述:rar
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-11 22:23 | 显示全部 短消息 资料
字号: 3楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?

[quote] 原帖由 zoxmes 于 2009-4-11 21:34:00 发表
是在公司内网里面,单杀一台机子是没有用的,
传播速度比你杀的速度要快,
楼主试一下把网给断了,然后再杀看看吧
克隆机子后,升级杀软如果能搞定,还会中毒。那防火墙还要来做什么?如局域网有200台机子。是不是要全部断开,什么时候搞定什么时候才能上网。如果这样我还用干了,准备快点走人得了。
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-11 22:26 | 显示全部 短消息 资料
字号: 4楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?

[quote] 原帖由 浪漫纸箱 于 2009-4-11 22:04:00 发表
用记事本打开autorun看看里面写的什么,发上来。
另外,病毒可不可能到镜像里面呢?
镜像中绝对无毒,代码如下:[AutoRun] shell\open=打开(&O) shell\open\Command=GRIL.PIF shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\command=GRIL.PIF
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-11 22:29 | 显示全部 短消息 资料
字号: 5楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?



引用:
原帖由 aaccbbdd 于 2009-4-11 21:25:00 发表
Trojan.Win32.VBCode.nw

瑞星可以删除

提取的文件当然可以了,连我看一眼都知道这东东不是个好东西呢。今天我没有上班,不知道这两个解决没有?
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-12 19:28 | 显示全部 短消息 资料
字号: 6楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?



引用:
原帖由 天月来了 于 2009-4-12 16:04:00 发表
恢复GHOST系统后是否还会中毒

最最重要的是需要知道你是否又去打开其他盘,是否又去使用其他盘文件

是否又去开网页去自己以为没问题的网站了

是否局域网内其他电脑影响你

是否使用了移动存储设备

这期间的任何一个过程,都可能导致你反复中同一种病毒

将那磁盘根目录下的两个文件压缩后发来吧


附件如下

附件附件:

文件名:455.rar
下载次数:164
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-12 19:32:11
描述:rar

最后编辑无忧之树 最后编辑于 2009-04-12 19:32:11
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-12 19:43 | 显示全部 短消息 资料
字号: 7楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?



引用:
原帖由 浪漫纸箱 于 2009-4-12 15:52:00 发表
嗯  收到
GRIL.PIF 就可能是病毒文件了。晕 我们学校电脑上也是这类型病毒。不过找不见病毒文件路径。只有个快捷方式指向病毒文件。
瑞星能杀么?提取了后发到可疑文件交流区么? 

中了这个毒,最明显是根目录下这两个。另外还有:gdiplus.exe thunder.exe 36osafe.exe T1MPLatform.exe gdi.exe 另外调用C:\Program Files\Outlook Express下的wab.exe进行什么玩意儿,(可能是利用其中的漏洞)还有如果中毒未深。还会调用office装某一个插件,如果你点确定安装,重启后中毒就严重了。(调用这个可能是方便利用office漏洞)
gototop
 
无忧之树
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-03-16
  • 来自:
发表于: 2009-04-13 19:11 | 显示全部 短消息 资料
字号: 8楼

回复: 有没有人中毒后,GHOST系统后第二天又中了同一种病毒?



引用:
原帖由 天月来了 于 2009-4-13 9:20:00 发表
那磁盘根目录下的两个文件

不是你那附件里的东西

不好意思啊,搞错了。

附件附件:

文件名:rav.rar
下载次数:181
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-13 19:10:32
描述:rar
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT