有谁知道shualai.exe bbs.ikaka.com

冷vs血 - 2007-4-16 12:11:00

好像是一种恶意下载软件，，
同时他会破坏路由表，，，让路由器中的大多IP对应同一个mac地址。

它会在system32下产生shualai.dll
系统目录下然生logo_1.exe等多个文件。
最头痛是的他破坏路由表.

zyy2007 - 2007-4-16 12:13:00

和威金有关系发日志上来!

冷vs血 - 2007-4-16 12:15:00

应该不是威金，，，他只有一个logo_1.exe
没有以前威金的特征，他不破坏其它程序。。主要是会造成网络断线。。。
如果机器上没有运行shualai.exe这个文件的话，他不会把这些文件下载的机器内。

yqlikaka - 2007-4-16 12:15:00

http://forum.ikaka.com/topic.asp?board=28&artid=8298384先按这个清理下

newcenturymoon - 2007-4-16 12:16:00

shualai.dll
只是个木马巴
应该和威金没关系巴

newcenturymoon - 2007-4-16 12:17:00

已经拿到样本一会测试

冷vs血 - 2007-4-16 12:19:00

我提取了shualai.exe 和shualai.dll这两个文件，但是瑞星查不出来。用威金专杀也没查出来。只有运行shualai.exe绿鹰提示木马，同时他会把shualai.exe传到其它机器上，并被运行。

newcenturymoon - 2007-4-16 12:22:00

下载 System Repair Engineer，
http://www.kztechs.com/sreng/download.html
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

冷vs血 - 2007-4-16 12:22:00

好的，我到另一台有运行shualai.exe的主机上提取一下

xiaoshzi - 2007-4-16 12:31:00

好辛苦啊,我也感染了这个病毒,我现在用组策略阻止这些程序启动,希望看到怎么解决

冷vs血 - 2007-4-16 12:33:00

报告太大了。传不上去

冷vs血 - 2007-4-16 12:34:00

http://61.153.11.131:8080/SREngLOG.rar 报告下载地址

冷vs血 - 2007-4-16 12:34:00

http://61.153.11.131:8080/SREngLOG.rar
报告下载地址

冷vs血 - 2007-4-16 12:35:00

还是放网站里，，，下载报告吧

冷vs血 - 2007-4-16 12:39:00

http://61.153.11.131:8080/SREngLOG.rar

上面是报告下载地址

冷vs血 - 2007-4-16 12:45:00

主要是他破坏了路由表。

hujing01999 - 2007-4-16 17:09:00

是不是ARP攻击，使你的网关转向，造成掉线。

天月来了 - 2007-4-16 17:14:00

哎呀！！！！

一次发不了，你不会分段发吗？？？？？

唉！！！！！！

算了。反正newcenturymoon能帮你。

海豚jhq198 - 2007-4-16 17:22:00

我也中了这病毒好象是网页上来的

天月来了 - 2007-4-16 17:27:00

我都见了两个这样的了。

天月来了 - 2007-4-16 17:30:00

点你那日志地址的都得倒霉。

看我点了以后的情况————————————

附件: 8390772007416172110.bmp

天月来了 - 2007-4-16 17:32:00

多了个：0[1].exe

天月来了 - 2007-4-16 17:32:00

我得重启电脑了。

小样！！！！！

影子在呢！！！！！！

哈哈！！！！！！

天月来了 - 2007-4-16 17:39:00

呵呵！！！！！

重启再下。没那玩意了。

看来是随机碰上了。

误会误会！！！！

天月来了 - 2007-4-16 17:42:00

日志看了，处理了以后，还得多下些专杀杀杀，

就怕别的文件也感染了。

瑞星卡卡安全论坛