微点交流论坛 - 反病毒 - PE_CORELINK.A是什麽病毒阿？

微点交流论坛 » 反病毒 » PE_CORELINK.A是什麽病毒阿？

yoke_du
新手上路

积分 4
发帖 4
注册 2007-4-18

#1 PE_CORELINK.A是什麽病毒阿？

各位大蝦幫忙啊，近日我電腦中了名為PE_CORELINK.A的病毒，現在電腦用起來超級慢，鼠標不跟我走，很多EXE都打不開了，甚至連壓縮文件包也不能打開，剛開始裝了趨勢，結果exe的文件一個一個被殺光了，什麽都不能用。現在都是在別人的電腦上發消息阿。

幫幫忙啊！！！

[ Last edited by yoke_du on 2007-4-18 at 16:26 ]

※ ※ ※ 本文纯属【yoke_du】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 16:19

wenli157
新手上路

积分 5
发帖 5
注册 2007-4-18

#2

感染exe的蠕虫病毒（RioDrvs.sys、LINKINFO.dll）

※ ※ ※ 本文纯属【wenli157】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 16:34

yoke_du
新手上路

积分 4
发帖 4
注册 2007-4-18

#3

好像也有這兩個，關鍵是PE那個毒，一板一板的都是

※ ※ ※ 本文纯属【yoke_du】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 16:39

wenli157
新手上路

积分 5
发帖 5
注册 2007-4-18

#4

(转帖)感染exe的蠕虫病毒（RioDrvs.sys、LINKINFO.dll）

原本准备在卡卡社区发的，可是提交总是出错……

我身边很多电脑中毒了，现象是很多exe全被感染，并且中毒电脑上运行netstat可以看到它不停的尝试连接网络上的其它电脑。
公司安装的是趋势的OfficeScan，提示很多exe被感染，病毒名称为：PE_CORELINK.A，并且处理结果全部cleaned（修复），但是每次重启问题依旧，那些提示cleaned了的exe文件和正常文件的MD5效验值也仍不一样，而且在OfficeScan修复之前这些exe都还可以运行，感觉病毒就像个隐藏的木马，你不去碰它倒还没事，可OfficeScan和它硬碰硬却败下阵来。
很多中毒的电脑上运行SREng扫描的Log看上去都正常，好不容易看到一个有明显异常的，Log内容详见附件（解压密码：virus）。
其中觉得可疑的有：
111、112行：
[RioDrvs / RioDrvs][Running/Auto Start]
<system32\DRIVERS\RioDrvs.sys><S3/Diamond Multimedia Systems>
136行：
[C:\WINDOWS\LINKINFO.dll] [Microsoft Corporation, 5.1.2600.2751 (xpsp_sp2_gdr.050831-1520)]

也就是这两个文件（附件中也有）：
C:\WINDOWS\system32\DRIVERS\RioDrvs.sys
C:\WINDOWS\LINKINFO.dll

可是在正常情况下打开系统隐藏也无法看到这两个文件，Icesword运行也出错，我最后是使用一个Linux的LiveCD启动将这两个文件给揪出来的……
另外，很多其它中毒电脑上运行SREng扫描生成的log中根本看不到任何与RioDrvs.sys、Linkinfo.dll相关的字样，但是如果你到Windows或者drivers目录下新建同名文件便提示该文件已存在……

在网上搜索了一番发现有点相关的网页只有这个：
http://www.viruschina.com/news/news_detail.asp?id=12120
里面提到的：一、W32病毒：W32.Corerink.A 危害级别：★★☆☆☆

不知道是否有其它有相似遭遇的兄弟，可否提供些解决办法，最好能有个针对该病毒的专杀工具才好！
现在试过威金专杀、熊猫专杀、光标漏洞专杀都无效，应该不属于这几种了。

※ ※ ※ 本文纯属【wenli157】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 16:40

yoke_du
新手上路

积分 4
发帖 4
注册 2007-4-18

#5

要怎麽殺呢？？

※ ※ ※ 本文纯属【yoke_du】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 16:40

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#6

楼主可以把您的病毒样本导出压缩加密发到virus@micropoint.com.cn我们具体测试分析下。
发送完请把您的邮箱地址用论坛短消息发给我。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-4-18 16:50

wenli157
新手上路

积分 5
发帖 5
注册 2007-4-18

#7

微点杀试试....

※ ※ ※ 本文纯属【wenli157】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 16:50

yoke_du
新手上路

积分 4
发帖 4
注册 2007-4-18

#8

我公司安裝的也是用趋势的OfficeScan，現象跟wenli157說的差不多

※ ※ ※ 本文纯属【yoke_du】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-18 17:33

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#9

windows\system32\linkinfo.dll正常大小为19.5 KB (19,968 字节)

删除HKLM\System\CurrentControlSet\Services\Riodrv项

运行xdelbox,选中"抑制再生"与"驱动安全删除"选项,删除以下提到的三文件,重启删除试试,部分被破坏的程序可能不能用了。

WINDOWS\AppPatch\linkinfo.dll ins.exe

WINDOWS\system32\drivers\Riodrvs.sys,正常为riodrv.sys

xdelbox
http://egomoo.i170.cn/Article_58860

ps:如果先装微点就好了

[ Last edited by 反黑先锋 on 2007-4-18 at 19:05 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-18 18:55

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号