微点交流论坛

标题: 发现nat.exe病毒 [打印本页]

作者: GPS3CJ 时间: 2010-7-3 11:23 标题: 发现nat.exe病毒

中毒了，相当郁闷，哪位高人给解释下工作原理，提供解决方案
这个帖子是一样的病毒 http://bbs.pediy.com/showthread.php?t=114537
一打开IE 就转跳到http://www.go2000.com/index16.htm http://www.38234.info /1122511 http:www.38234.info/1122511 再瞬间转跳 http://www.go2000.com /index16.htm http://www.go2000.com/index16.htm

每次开机桌面就生成2个网页文件一个淘宝网
1.用任务管理器查看会查到一个nat.exe，在路径c:\windows目录。
2.会强制安装PPTV，一个有道词霸，还有一个coopen（貌似是这个名字）等软件。
3.在任何一个盘里 Ctrl+F搜索的时候  会弹出一个错误框，然后弹出2个网页，就是楼主说的网页
4.他会隐藏文件的扩展名，不显示隐藏文件，从文件夹选项里重新设置后，重启又恢复过来了。
5.试过360杀毒，金山毒霸，金山网盾，AVG ，江民，都不行，重启后问题依旧
6.用之前备份过的Ghost镜像还原整个C盘，问题依然存在，也就是说所有楼上的回答都不能解决问题，病毒应该是把自己藏到分区表，引导扇区等地方。即使重装系统也没用。

直接在电脑上运行nat.exe  立即蓝屏。而且连续蓝屏3~5次才正常。
还有我Ghost还原后也是连蓝好几次  然后到桌面就发现还是有那2个图标。

[ Last edited by GPS3CJ on 2010-7-3 at 11:24 ]

作者: GPS3CJ 时间: 2010-7-3 11:27
原来给客户做的那种按F11一键还原的，也被破坏了。隐藏的分区直接显现出来了。

安装了微点主动防御可以防住，不过现在是每次启动都要杀一次nat.exe。呵，真是无奈。

作者: Legend 时间: 2010-7-3 11:28
楼主您好，您有nat.exe样本文件吗？
如果有请楼主发送至virus@micropoint.comc.cn邮箱，随信请附带本贴链接便于我们尽快测试分析。

作者: Legend 时间: 2010-7-3 15:16
楼主您好，请楼主联系微点在线管理员qq：383154254或者466248167 以便更快的为您处理此问题。

作者: 饭桶小白 时间: 2010-7-4 13:28
应该是中了鬼影。你用金山网盾或者金山鬼影专杀可以搞定~
前几天我也是碰到这个，每次开机就微点就杀nat.exe，杀了之后，即使全盘扫描都不会有其他的木马。但是一重启，微点又会发现这个这个木马~~

作者: xie123654 时间: 2010-7-4 21:38
试试卡巴斯基，或者红伞，还有NOD，都是高启发的杀软。

作者: Legend 时间: 2010-7-5 18:00
经分析，楼主反馈样本行为微点主防可有效进行拦截，同时建议您
按照4楼的方法联系微点在线管理员，由他们协助您做进一步的分析（并请您将微点软件升级最新版本测试。）

作者: zzz@zzz 时间: 2010-7-5 23:03
鬼影病毒吧

作者: 电子世界 时间: 2010-7-19 19:54
10年7月18日在一客户机上发现的很像是nat.exe病毒。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn