houman - 2007-2-12 16:24:00
病毒进程mssys32.exe,结束进程以后会立刻在加载。病毒是在windows/system32下面,文件名就是mssys32.exe。比较具有欺骗性的是文件图标为“微软证书”的样子,而且公司表示均和其他微软的文件一样。而且结束进程删除以后立刻又出现。并且每次重启或者启动IE都会加载。
经过检查发现病毒是在internet的临时文件夹里,名字为sys32.EXE,图标仍是“微软证书”的样子。每当删除system32下面的病毒文件,病毒就是从这里复制的。右键属性发现有个网址“http://mybtdown.com/sys32.exe”估计就是从这里下载的。也就是在删除了病毒每次上网都会下载这个文件。
用tuneup看了以前启动项目,里面多了2个项目,而且公司标识都是microsoft。在注册表里查找sys32,会发现有两个键值。(忘记看具体是那里了,反正能搜索到)一个目标windows/system32/mssys32.exe;另外一个是windows/system32/mshtmll.dll。(比正规文件多了一个L)
现在大概能猜出来病毒怎么工作了,每次开机或者启动IE,只要能够上网,病毒就自动从上面的网址下载并且存放在internet临时文件夹里,同时复制到system32下面并加载启动项目。进入安全模式,删除注册表的键值,在system32下面删除mshtmll.dll和mssys32.exe,在internet临时文件夹下面删除sys32.exe,顺便清理一下启动项目。重启以后正常,至少到现在我没发现还有残余……
病毒的危害相对不大,减慢系统速度。即使不打开IE也不断的弹一些窗口。比较头疼的是卡巴斯基和AVG以及其他一些清理流氓软件的工具都无法发现并且删除。
中午的时候一下不小心中招,弄了快3个小时才清理完。希望对你有帮助。
两个铁球 - 2007-2-12 16:32:00
“即使不打开IE也不断的弹一些窗口。比较头疼的是卡巴斯基和AVG以及其他一些清理流氓软件的工具都无法发现并且删除。
中午的时候一下不小心中招,弄了快3个小时才清理完。希望对你有帮助。”
这个有点棘手啊。
hotboy - 2007-2-12 16:34:00
平时用tiny保护住system32目录,防御此类病毒吧,春节大家小心
baohe - 2007-2-12 16:43:00
【回复“houman”的帖子】
如果可能,请将mssys32.exe打包,加密(密码:123),发到:baohelin@yahoo.com.cn
谢谢!!
hotboy - 2007-2-12 16:47:00
应该给你传sys32.exe
houman - 2007-2-12 16:54:00
抱歉,我给删了。如果你想要,上面我说的那个网址应该有。
不知道记错没有,因为我不敢打开试。
baohe - 2007-2-12 16:54:00
| 引用: |
【hotboy的贴子】应该给你传sys32.exe
……………… |
耶!!!!!
http://mybtdown.com/sys32.exe————已经拿到了。
拜拜了!!!!!!
hotboy - 2007-2-12 16:57:00
logicl - 2007-2-12 17:02:00
又有乐子了.
baohe - 2007-2-12 17:12:00
| 引用: |
【hotboy的贴子】
拿到就跑,典型的吃饱不认大马勺啊
……………… |
很烂的东东(只能在我的桌面原位运行)
附件:
1558472007212170324.jpg
baohe - 2007-2-12 17:14:00
结束进程。删除文件(图),搞掂了。
注册表中要删的是:
HKEY_CLASSES_ROOT\TacOnlyOne(这个,目前的日志工具扫不到。)
附件:
1558472007212170438.jpg
logicl - 2007-2-12 17:15:00
呵呵..
是你的防太高了,,它过不了.
PS:我在回贴时,怎么不能贴图上来的啊?
hotboy - 2007-2-12 17:15:00
是啊,你都保护住了,可不没办法运行了
baohe - 2007-2-12 17:18:00
| 引用: |
【hotboy的贴子】是啊,你都保护住了,可不没办法运行了
……………… |
天地良心啊!!!!
没防它。
SSM提示,一律创建规则————允许。Tiny————用Track'nReverse(如同Trust啊)。
附件:
1558472007212171147.jpg
logicl - 2007-2-12 17:21:00
| 引用: |
【baohe的贴子】结束进程。删除文件(图),搞掂了。
注册表中要删的是:
HKEY_CLASSES_ROOT\TacOnlyOne(这个,目前的日志工具扫不到。)
……………… |
是病毒创建的吗??
baohe - 2007-2-12 17:23:00
| 引用: |
【logicl的贴子】
是病毒创建的吗??
……………… |
HKEY_CLASSES_ROOT\TacOnlyOne——————sys32.exe创建的(Tiny监控到的)
afkp4e7 - 2007-2-12 17:23:00
你的机器的特征码病毒已经收录遇到自毁
hotboy - 2007-2-12 17:23:00
tiny加入信任,养几天,病毒也要吃东东的,吃饱了才能干活,对了,把所有补丁撤了
baohe - 2007-2-12 17:24:00
| 引用: |
【hotboy的贴子】tiny加入信任,养几天,病毒也要吃东东的,吃饱了才能干活,对了,把所有补丁撤了
……………… |
养宠物?
那要养狗狗啊,养病毒干啥?
ydfhfx - 2007-2-12 17:37:00
能不能讲讲是怎么测到注册表地址的?
hfwfq - 2008-8-15 16:01:00
我也中了TACONLYONE,可是我在我的windows/system32下面找不到文件名mssys32.exe和mshtmll.dll,在注册表里面也找不到.只有用卡卡扫描流氓软件才会说有这个病毒.我试过很多方法都没有用,请那位高手帮帮忙!我付上我的扫描报告!
附件:
SREngLOG.log
最硬的石头 - 2008-8-15 16:41:00
重新开个帖吧,这个是半年前的帖了:kaka6:
© 2000 - 2026 Rising Corp. Ltd.
