丛林猎人
新手上路
积分 13
发帖 13
注册 2007-3-10
|
|
2007-3-21 23:41 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-3-21 23:57 |
|
xi2008wang
注册用户
积分 146
发帖 146
注册 2007-1-17
|
#3
应该是没完全打系统补丁吧,
| |
※ ※ ※ 本文纯属【xi2008wang】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
|
2007-3-22 00:02 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-3-22 09:13 |
|
wg2250
新手上路
积分 35
发帖 35
注册 2007-2-10
|
#5
路过,支持一下
| |
※ ※ ※ 本文纯属【wg2250】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-22 16:37 |
|
丛林猎人
新手上路
积分 13
发帖 13
注册 2007-3-10
|
#6
此病毒已经感染多个文件。为了试验点点,最近把瑞星监控关了。结果现在重新开瑞星时。瑞星监控程序也被感染损坏,升级过程也不停被感染,瑞星报为Worm.Delf.dy
c盘的_.de没找到过。别的能找出来。得会给你们压缩上报。
另,本系统没打算常用。进来的补丁没打。
| |
※ ※ ※ 本文纯属【丛林猎人】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-22 19:20 |
|
丛林猎人
新手上路
积分 13
发帖 13
注册 2007-3-10
|
#7
遭了。遭大了。已经感染了所以exe文件。而且瑞星清除病毒后,被感染的文件均都被破坏。几百M的文件也只剩200多K。有的才几十k。。这下我可遭大了。苍天啊。
病毒名称:Worm.Win32.Delf.bg(Kaspersky)
病毒别名:Worm.MYGOD.a.30001(毒霸)
Worm.Delf.dy(瑞星)
病毒大小:18,432 字节(30,001 字节)
加壳方式:PE_Patch.UPX UPX
发现时间:2007.2
更新时间:2007.2.7
关联病毒:
传播方式:恶意网页、其它病毒下载,感染exe文件,可通过移动存储设备(U盘等)传播
该病毒运行后生成:
C:\WINDOWS\system\internat.exe (每隔一段时间收集非系统分区下exe文件写入win.log)
每个盘下生成autorun.inf和setup.exe
并感染非系统分区下的EXE文件!(大小:30986字节,此次被感染的文件没有被改变图标,没有生成_desktop.ini文件)
尝试网络:h**p://222.220.16.203/ccc 下载:
1.exe,2.exe,3.exe,4.exe,5.exe,6.exe,7.exe,8.exe,9.exe,10.exe并运行,
生成:
C:\WINDOWS\896588M.BMP
C:\WINDOWS\c0nime.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\wsvs.exe
C:\WINDOWS\system\1.exe (调用arp,命令arp -d)
C:\WINDOWS\system\taskmgr.exe
C:\WINDOWS\system\CMD.DLL (打开的网页加入代码“<iframe src=h**p://a.d3a.us/1/ width=0 height=0 frameborder="0"></iframe>”
C:\WINDOWS\system\icedate.dat
C:\WINDOWS\system\IceHBO.dll (弹出广告:h**p://www.22595.com/sms.htm)
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system\WPC..DLL
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\Gjzos.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsvs.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\upxdnd.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\upxdnd.exe
添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"InternetEx"="C:\windows\system\1.exe"
"wsvs"="C:\windows\wsvs.exe"
"cmdbcs"="C:\windows\cmdbcs.exe"
"mppds"="C:\windows\mppds.exe"
"msccrt"="C:\windows\msccrt.exe"
"wsttrs"="C:\windows\wsttrs.exe"
"upxdnd"="C:\DOCUME~1\“你的用户名”\LOCALS~1\Temp\upxdnd.exe"
"Internet"="C:\windows\system\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"1u0r68vrj"="C:\windows\c0nime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"internet"="C:\windows\system\taskmgr.exe /scan"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="896588M.BMP" (原 "AppInit_DLLs"="" )
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
添加 {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} 指向 C:\WINDOWS\system\IceHBO.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA}\
@=" "
使用批处理{原文件名}.bat删除自身原文件,{原文件名}.bat内容:
CODE:
:try
del "exe"
if exist "exe" goto try
del %0
向各分区目录复制副本,创建autorun.inf:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe
感染之后,每个盘的右击菜单不过加了自动播放,而且增加了一个打开,右击菜单里有两个打开
病毒感染除系统分区下的所有exe文件,使用dir命令收集非系统分区下的所有exe文件列表:
CODE:
dir *.exe /s /b >%Windows%\win.log
被感染文件运行后释放病毒体(大小30001字节)到C盘根目录并运行:
C:\_.de
%Windows%\system\internat.exe开关参数/update,尝试访问网络下载其它病毒或恶意程序,保存到以下位置并运行:
%Windows%\system\SYSTEM32.vxd(加密文件列表)
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe
病毒内发现有如下信息:
CODE:
MYGOD
this is the Rav get all path administrators
.....................卡巴 我恨你...............
清除步骤
==========
1. 结束病毒进程:
%Windows%\system\internat.exe
2. 删除病毒文件:
%Windows%\system\internat.exe
3. 通过文件夹树形结构目录进入分区根目录,删除病毒文件:
X:\setup.exe
X:\autorun.inf
4. 删除C盘根目录下的病毒文件(可能存在):
C:\_.de
5. 删除病毒下载的其它病毒或恶意程序(可能存在):
%Windows%\system\SYSTEM32.vxd
%Windows%\system\1.exe
%Windows%\system\2.exe
%Windows%\system\3.exe
%Windows%\system\4.exe
%Windows%\system\5.exe
%Windows%\system\6.exe
%Windows%\system\7.exe
%Windows%\system\8.exe
%Windows%\system\9.exe
%Windows%\system\10.exe
%Windows%\system\svchost.exe
| |
※ ※ ※ 本文纯属【丛林猎人】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-22 19:40 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-3-22 19:46 |
|
丛林猎人
新手上路
积分 13
发帖 13
注册 2007-3-10
|
#9
完了。受刺激了。C:\WINDOWS\win.log里面记录了所以被感染的exe文件。发现无一幸免啊。这个纯文本文件都103K了。大家说得多少文件吧 。惨了。关键是怎么修复那些被感染的exe文件啊。瑞星也修不了。清除病毒后exe全变为几十k了。仅存图标而已了。。网上查了会。都说没办法。死定了。
这种病毒。点点也是没办法吧。我要我的exe啊。
要不是为了试验微点。我也不会把瑞星监控禁止启动啊。这次惨大了。
Legend
我现在有事出去一下。一会给你们打包发送。希望电脑还能坚持到那个时候。
| |
※ ※ ※ 本文纯属【丛林猎人】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-22 20:19 |
|
tophero911
新手上路
积分 20
发帖 20
注册 2007-1-20
|
#10
楼主以后试验病毒起码要开个影子系统,虚拟机,小哨兵之类的啊,当然看来一也没想常用这个系统哈。
| |
※ ※ ※ 本文纯属【tophero911】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-22 20:41 |
|
