瑞星卡卡安全论坛
报警中心 - 2007-4-22 18:39:00
病毒库和杀毒软件跟新到本月20日。
操作系统:Windows XP SP2 Deepin V5.5精简版
情况特征:在进入系统的刹那,会运行接近100个 SVCHOST.EXE进行,关也关不掉。
D盘跟目录有一个隐藏文件,叫什么不记得了(被我删除了)。执行什么dll文件,注册
表修改成什么样子,这都不重要,该病毒最大的特点就是:
所感染的可执行文件统统变成了常见的上蓝条,下面是白色的那种图表样式,包括卡卡
也被感染,原来的可执行文件在文件名称前面加上一个空格,并被隐藏。也就是说,只
要有可执行文件随机启动或者运行,改病毒就会运行。
求助目的:现在用的不是那台机器,没有图片什么的可以上传,如果有人遇到此问题,希望
能帮助俺得以解决,如果还不是很明白,明天上半传图片上来大家看看。
GHRH - 2007-4-22 18:43:00
100个SVCHOST.EXE ??
D盘跟目录有一个隐藏文件,叫什么不记得了(被我删除了)。执行什么dll文件,注册
DOS文件吗?
报警中心 - 2007-4-22 18:49:00
我想病毒会注册dos文件的,我现在不在单位,那个连接的dll文件名称很长,由英文字母和数字组成。但是病毒的主要特征就是修改可执行文件。
报警中心 - 2007-4-23 8:47:00
【回复“报警中心”的帖子】
执行的DLL文件是 winsys16_070418.dll start 。在安全模式下可以删除,但是感染可执行文件后,虽然备份都系统,但是恢复就会感染病毒,因为瑞星和卡卡等可执行文件都随启动项运行了。
有高手的话,我可以给个病毒感染的可执行文件。
另外,发现http://dhz.810810.org/桌面快捷方式导航。
孤独更可靠 - 2007-4-23 8:58:00
扫日志
没日志什么也不好说
知道是什么病毒造成的话
打包发送到Lyhan_1988@163.com
加密
把感染文件随便捡几个仍到我上面的邮箱
报警中心 - 2007-4-23 9:38:00
已经给你发过去了,病毒文件无法压缩,你可能会收不到!
用什么软件扫描日志!
孤独更可靠 - 2007-4-23 9:41:00
SRENG的官方下载地址:
http://www.kztechs.com/sreng/download.html
打不开的话,到我网盘
http://gudugengkekao.ys168.com
(其他工具-sreng2.zip 0.6MB )
先暂时关闭QQ、播放之类的东西,选第四选项-智能扫描-勾选上检查进程模块的数字签名-扫描后保存报告~把内容粘上来,一次粘不完分几次粘,中间不要修改..
没压缩?
肯定被干掉了,或者你找个上传空间
给个网址就OK了
报警中心 - 2007-4-23 9:47:00
日志太长,我给你发到电子信箱了! 另外病毒文件是否收到?
报警中心 - 2007-4-23 9:53:00
http://free5.ys168.com/?myiddevil 已经传到这里了,你可以收一下!
孤独更可靠 - 2007-4-23 9:54:00
好的,日志分短粘上来吧
那破邮箱卡死了
挤不进去
头疼
报警中心 - 2007-4-23 9:59:00
三。Parasite.Bi,病毒类型:文件型病毒,危险级别:★★★,影响系统:Win 9X/ME/NT/2000/XP/2003
Parasite.BiBi病毒”该病毒采用汇编语言编写,通过感染可执行文件传播。病毒运行后将搜寻当前目录下所有的可执行文件,并试图感染它们。该病毒既可以感染Windows下的PE格式可执行文件,也可以感染Linux下ELF格式可执行文件,是全球首个可以同时感染这两个系统的跨平台病毒。这个病毒为实验性质,破坏能力有限,但是一旦该病毒的源代码公开,将有可能衍生出危害性很强的变种病毒。
四。Worm.Pluto.a,病毒类型:蠕虫,危险级别:★★★,影响系统:Win 9X/ME/NT/2000/XP/2003
Worm.Pluto.a“冥王星”,该病毒通过网络共享传播,它通过IPC$共享把自身拷贝到远程机上的启动目录里,并用at命令在远程机器指定运行病毒文件的时间。一但到了指定时间(每天的11:03和17:08)或远程机器重新启动时病毒程序就会被运行。该病毒会把自己复制到一些目录的文件中,并把这些文件加上只读,隐藏系统属性。该病毒会更改几处注册表的值,达到随机启动的目的。该病毒还会中止一些常见杀毒软件进程,给用户带来很多不必要的麻烦。
这些病毒是以上两种的综合了。
报警中心 - 2007-4-23 10:00:00
日志也传到网络U盘上了,你下吧
孤独更可靠 - 2007-4-23 10:06:00
咦,日志没问题
还有,所谓的"被感染的文件"不是有效的PE文件
观察下竟然是0字节的
也就是不能运行
?!
报警中心 - 2007-4-23 10:29:00
又传了几个文件,你看一下!文件名有空格的是病毒文件运行后产生的。
孤独更可靠 - 2007-4-23 10:35:00
0
好
报警中心 - 2007-4-23 12:18:00
瑞星更新到23日已经可以检测到病毒,被命名为 startgpage
多谢帮助,但是所感染的可执行文件运行,依然会激发病毒。
但23日更新不能修复被感染文件。
孤独更可靠 - 2007-4-23 12:20:00
OK,分析完了,没什么特殊发现
所谓"被感染"的文件
在我看来,没有任何破坏能力
最多也就当他是在"开玩笑"?!
运行被感染的文件后,程序一切正常
白底蓝筐?
你显示隐藏的文件就可以看到了?
被感染的前面都带个空格?
的确,在运行"被感染的"文件后在同个目录生成个同名文件
甚至连汇编内的内容都一样,多个空格是怕覆盖吧?
是个病毒?
我不怎么认为
因为我实在没有足够的理由,只能说
"它没有破坏能力"
分析完毕
报警中心 - 2007-4-23 22:21:00
是病毒肯定是了,瑞星23日更新后,发现这个病毒ievip被瑞星命名为Trojan.Startpage.upf,引发的另外一个文件被命名为Trojan.dll.Vbs.agent.cll,被感染的所有可执行文件,只要运行就会感染已经修复的可执行文件,这就意味着所有的文件都要被删除,或者格式化硬盘,里面还有一些专用的程序,这损失还不大啊。
1
© 2000 - 2026 Rising Corp. Ltd.