xiaoyueIQ - 2007-5-23 18:16:00
症状:每个盘符里都有3个文件
名称是 一个.inf的文件
内容:[autorun]
Shellexecute=copy.exe
两个.exe的文件
分别是 copy.exe和host.exe这两个文件
我用杀毒软件还是杀不干净重启后还是有..
注:在安全模式下我已经用杀毒软件杀过可还是那个样子
我把.inf文件里的内容修改后再删除仍然是没有办法
这个病毒是我U盘里弄进来的..
好头疼啊...快来人啊
xiaoyueIQ - 2007-5-23 18:29:00
FCOME - 2007-5-23 18:39:00
| 引用: |
【xiaoyueIQ的贴子】好头疼啊...快来人啊
……………… |
………………
能不能把那两个文件发给俺!密码 123
wdt3385@yahoo.com.cn
xiaoyueIQ - 2007-5-23 18:52:00
有没有解决的办法啊
�火影忍者 - 2007-5-23 18:56:00
扫SRE日志上来吧。。
xiaoyueIQ - 2007-5-23 19:00:00
SRE是没有用的。
而且我这里没有那个软件。
也就是说用了不SRE
eval - 2007-5-23 19:04:00
【回复“xiaoyueIQ”的帖子】
能不能发个样本的压缩包给我啊,谢谢
lxh71105321@163.com
FCOME - 2007-5-23 19:06:00
没收到你的样本!
�火影忍者 - 2007-5-23 19:12:00
SRE没有,还是用不了。。。
用不了,可以改名运行。。。
没有就到
http://www.kztechs.com/sreng/download.html这下载吧。。
请叫我上帝 - 2007-5-23 19:22:00
WOW木马
看下面文章
你先看一看这个文章!也许会有用的!
COPY.EXE病毒解决
将如下的内容复制 ,保存成一个文件 ,文件名 s.bat 。
(打开记事本,将如下的内容复制进去,然后选择 “文件”菜单-->另存为,保存类型 一定要选择“所有文件” ,文件名 输入 "s.bat" 【你最好直接拷贝," 是半角的单引号 切记切记】 将这个文件保存到桌面即可
然后在桌面上双击 s.bat 这个文件,运行,重启你的电脑,问题即可解决
;------------ 线下面的内容复制,别复制这一行 ----
@echo off
c:
cd \
attrib -s -h -r copy.exe
del copy.exe /F
attrib -s -h -r *.inf
del autorun.inf /F
d:
cd \
attrib -s -h -r copy.exe
del copy.exe /F
attrib -s -h -r *.inf
del autorun.inf /F
e:
cd \
attrib -s -h -r copy.exe
del copy.exe /F
attrib -s -h -r *.inf
del autorun.inf /F
@echo 修复完成。按任意键继续……记得手动重启计算机!!
这是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
然后重新启动
loveperday - 2007-5-23 20:38:00
火影的方法是王道
xiaoyueIQ - 2007-5-24 9:40:00
还是没有好的解决办法
newcenturymoon - 2007-5-24 10:07:00
你的样本 没有加密 被邮箱过滤了
xiaoyueIQ - 2007-5-24 13:23:00
这次是加密后发过去的
xiaoyueIQ - 2007-5-24 14:24:00
这个难缠的病毒
终于把它从我的电脑里踢出来了
感觉真好~~~
在这发全模式下我把下面的程序改成
[autorun]
Shellexecute=copy.exe
shellexecute=explorer.exe
随后保存退出后、再把host和copy那俩个文件删掉
重启后它竟然从我的电脑跑出去了
好开心啊
在些谢谢大家帮助~~~~
天月来了 - 2007-5-24 14:45:00
呵呵!!
不知系统里还有没残留一些东西。
xiaoyueIQ - 2007-5-24 16:57:00
| 引用: |
【天月来了的贴子】呵呵!!
不知系统里还有没残留一些东西。
……………… |
我没个盘符都用右键打开的。
没有发现异常
姑苏残月 - 2007-5-24 17:00:00
貌似见过这个MM
姑苏残月 - 2007-5-24 17:01:00
刚才看到一朋友,把该病毒分析给你了.为什么不按照那个操作呢?
© 2000 - 2026 Rising Corp. Ltd.
