瑞星卡卡安全论坛

客人拿来的U盘，打开后发现不对劲，

发现AUTORUN。INF
发现有同名的文件夹，查看扩展名后发现为与文件夹同名的。EXE文件，图标也为文件夹。
并且进程中突然加载了多个calc.exe,还有IEXPLORER.exe
瑞星主动防御不断的提示C:\WINDOWS\SYSTEM32\XP-1F1E745A.EXE要修改注册表。
其中XP-（1F1E745A）.EXE 括号内的为随机八位数。监控到的记录有几条
C:\WINDOWS\SYSTEM32\XP-75BEB75A.EXE
C:\WINDOWS\SYSTEM32\XP-B4927B0C.EXE
C:\WINDOWS\SYSTEM32\XP-49C153CD.EXE
.
.
.
同时还有

修改内核内存数据
2008-07-24 16:23:02
C:\WINDOWS\SYSTEM32\CALC.EXE       
                                                                                                                                                                                                                          \Device\PhysicalMemory                         

但是这几个文件用最新病毒库的瑞星还扫描不出有问题，        所以发上来，让大家看看~~~~                                                                                                                                             

解压密码  aopen

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

附件: 病毒.rar

不是吧
带密码？

用SRENG扫描上传

...小狮子...

看他最后一行...

进程中结束iexplore.exe  删除c:\program files\iexplore.exe

将该文件打包上传

另外你说的那几个
C:\WINDOWS\SYSTEM32\XP-75BEB75A.EXE
C:\WINDOWS\SYSTEM32\XP-B4927B0C.EXE
C:\WINDOWS\SYSTEM32\XP-49C153CD.EXE
也一起打包上传

你打包的这俩文件全部是正常的系统文件

怎么下不了附件，学习一下。

那个。。。我是新手，这个
“将该文件打包上传

另外你说的那几个
C:\WINDOWS\SYSTEM32\XP-75BEB75A.EXE
C:\WINDOWS\SYSTEM32\XP-B4927B0C.EXE
C:\WINDOWS\SYSTEM32\XP-49C153CD.EXE
也一起打包上传

你打包的这俩文件全部是正常的系统文件”
是啥意思？望您不辞仔细解释这个问题，非常感谢！！