瑞星卡卡安全论坛

今天上网中了一个厉害的病毒。
症状如下：
  出现这几个任务：directdb.exe,iexplore.exe,notepad.exe.（此时我并没有打开浏览器和记事本）
而且iexplore.exe不停地出现，把内存吃光
directdb.exe 无法关掉，重装了系统，持行任意.exe文件，病毒马上又生成了(位置在C:\Program Files\Common Files\System)。我朋友也中了这个病毒。毒霸开始升级了。。不知我们瑞星什么时候升级这个啊。

给个日志我们看看，

又是WAB32RES.EXE。
看这个吧
http://www.cisrt.org/bbs/viewthread.php?tid=1020

按二楼的方法不行！我有一台双系统的（xp与98），查杀不到。现在还有一个directdb.exe在(C:\Program Files\Common Files\System)杀不到，最新版的瑞星与金山根本就查不出这是个病毒，。连98也进不了，一进98就会自动关机，98的安全模式也进不了。晕！可能要重装双系统了。

这个毒我刚中过，加载了n多东西到C:\Documents and Settings...
\temp里，还注册了一个服务叫什么TCP的，把该删的删完，注册表启动项目基本上删完，只留
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\CTFMON.EXE>  [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
服务和驱动那快都保证无毒，

结果重起后还是会弹出一个directdb.exe，它不断地调用记事本和浏览器的进程...

反复查找，并没有找到是什么东西引导directdb.exe启动的，

结果一气只下，ghost了，一切恢复了平静......

后来在网上查了下才知道，原来它是全盘感染exe文件的，

我估计是这个启动项把它启动的C:\WINDOWS\system32\CTFMON.EXE，

估计是被感染了，因为当时自己没有钩掉它，为了验证是不是，

于是，我重新打开了directdb.exe（之前做了备份），

但是，单纯的一个文件似乎失去了原来的病毒功能，一会就杀完了，

于是，关于这个病毒如何删除，还是个秘......

请楼下高手赐教！

引用:

【czl119的贴子】这个毒我刚中过，加载了n多东西到C:\Documents and Settings... \temp………………

清理TEMP文件夹嘛

要补上ANI漏洞补丁

关键是不知道这个毒是否是把系统的可执行文件也感染了，