查看完整版本: [-- 【求助】救命!! 这是啥病毒????? --]

【 浮游城 - Castle in the Sky | 开放邀请注册,PS|SS|WII|DC下载研究中心 】 -> 【 电脑全方位 | Computer All Round 】 -> 【求助】救命!! 这是啥病毒????? [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

疾风の舞 2006-09-02 23:25

刚才在内网里拖了几个游戏,嫌慢关了杀毒,结果再开以后杀出N个病毒来,被感染的文件修复后变成了这样.
[attachment=41001]

杀毒软件检查也没什么问题,但是程序不能运行了,一运行就提示这个
[attachment=41002]

这到底是咋回事啊??没整懂.....我该怎么样才能把这些程序恢复成原来的?? \

yksoft1 2006-09-02 23:51
怎全变成珊瑚虫QQ的程序了?确实有些奇怪哦...................

疾风の舞 2006-09-03 00:33
不知道是怎么回事,在网上找了半天也没找到什么解决的办法...我F盘的文件一多半都被这东西给QJ了,刚才一不小心又把隔离区的东西全删掉了....不知道能不能恢复,不能的话可惨了..........真他妈郁闷!!

顺便说一句,不是图标换了,连文件属性也换了,只有文件大小没有变.....

jackalv 2006-09-03 02:30
为LZ的数据默哀ing....
好像是真三国无双三的文件夹哇...
看来你的配置不错...
两种可能..
1.应该中的是文件型病毒...
一般文件型病毒破坏力是最强的..想当年.一个PARITE.搞的我2个G的电子书..所有的模拟器.都坏掉了..
重装系统全面杀毒...只好这样了...
2.也许是什么程序把你电脑里的EXE文件的打开方式给改了...默认成珊瑚虫那个为打开方式了..
仅仅是猜测..
你把这东西扩展名改成.com试一下..也许还能用..

疾风の舞 2006-09-03 03:20
楼上好眼力,我那确实是353的文件夹,4玩累了,换3回味一下,机器配置菜的很,精英865+256*2+P43.0\
9800PRO返厂修去了,现在用了块5200将就一下..

我之前已经试过改成.COM了,不行,运行了还是那个样子. 看来是你所说的文件型病毒了.这东西原理很奇怪啊,文件被隔离以后还会自己复制出一个同名的来,只是不知道为什么拿珊瑚虫开刀了..难道是巧合?

忽然想起来,是我内网的一个机器上有这东西,我以为是QQ安装程序就运行了一下,结果就这样了,貌似被QJ的文件中有SETUP字样的占大多数. 总之太恶了~~~~~~发可他老木!!

疾风の舞 2006-09-03 05:27
看看啥叫壮观!!!!我靠了~~~

疾风の舞 2006-09-03 05:42
无语中...... 一晚上,终于知道了中了个叫什么蠕虫.威金的一个re变种,查了半天也没发现有什么好的解决方案,网上一般的结论都是:中了此毒基本上硬盘资料都废了!
别的变种只是感染EXE文件,这个RE可到好..RAR.ZIP.ISO.BIN.EXE.JPG,连他妈的MP3都没放过,放眼望去,硬盘里一片QQ,刹是惹人欢喜.... 好在这病毒是从Z盘开始往前感染,偶只是F盘一大部分文件挂了.还能控制的住...
上面那图片是病毒源机器,现在差不多装了80个G的QQ...汗!!

大家可要小心了,这东西中了真要命啊!

Lobelia 2006-09-03 07:52
````

让ME想起以前中滴。。。还好素EXE。。。

那画面。。。寒一个。。。真壮观。。。。

冷血 2006-09-03 09:13
同情疾风一个
怕怕啊
病毒好可怕

yksoft1 2006-09-03 09:35
维京的某种BT变种。.............
不知道我有没有收集到过。,

williw 2006-09-03 10:41
寒LS的,虽然大家都知道你喜好收集,不至于连病毒都收集吧。

xiao555 2006-09-03 10:44
遇到这种问题,我都会选择华丽的格盘。
首先用系统恢复用用。

yksoft1 2006-09-03 11:07
我确实有收集病毒的习惯.......很早之前就有

拉菲尔 2006-09-03 12:19
太厉害了,
看来前一阵我中的还算是小dd了……

abomb 2006-09-03 14:03
跑题了,停!

疾风の舞 2006-09-03 16:54
引用
引用第9楼yksoft12006-09-03 09:35发表的“”:
维京的某种BT变种。.............
不知道我有没有收集到过。,


re变种,需要的话我发一个给你...哦呵呵.现在我内网好几台机器都中这个了,繁殖速度超快,最多20分钟就蔓延到C盘

永恒の翼 2006-09-03 17:57
此类弱智病毒,我完全免疫……

此类病毒能中的人群只有那种没有条理性的、不定期整理硬盘的家伙

jackalv 2006-09-03 22:32
专杀工具..       http://tool.duba.net/zhuansha/246.shtml
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
  %SystemRoot%\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝时Ρ改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。

11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"


一般看到这些东西的时候我都会手动删除...

TNTMAN 2006-09-04 00:52
引用
引用第16楼syuraking2006-09-03 17:57发表的“”:
此类弱智病毒,我完全免疫……

此类病毒能中的人群只有那种没有条理性的、不定期整理硬盘的家伙

何谓有条理且定期整理硬盘?
先生此话怎讲?

rocky 2006-09-04 09:05
楼主赶快把签名改了就能永久免疫此毒了……

byoundanubis 2006-09-04 09:39
极品病毒。。。。。。。。。。。。。。。。。。。。

疾风の舞 2006-09-05 00:33
汗.....我也不想中!~ 无奈想从局域网里拖点东西,不关杀毒软件太慢啊,,经常没响应..

楼上哥们给的解决办法无效....当天就试过了..

不过现在已经没什么问题了..简单的杀了一下,感染的文件索性就不要了,正狠不下心来删呢~


查看完整版本: [-- 【求助】救命!! 这是啥病毒????? --] [-- top --]


Powered by PHPWind Code © 2003-08 PHPWind
Gzip enabled

You can contact us