Shadowleaf - 2009-2-4 11:38:00
我看到一个该木马群介绍里提到病毒会产生下列文件:
C:\windows\fonts\ComRes.dll
C:\WINDOWS\Fonts\ctm01025.fon
C:\WINDOWS\Fonts\ctm01025.ttf
C:\WINDOWS\Fonts\ctm04004.fon
C:\WINDOWS\Fonts\ctm04004.ttf
C:\WINDOWS\Fonts\ctm07015.fon
C:\WINDOWS\Fonts\ctm07015.ttf
C:\WINDOWS\Fonts\ctm09003.fon
C:\WINDOWS\Fonts\ctm09003.ttf
C:\WINDOWS\Fonts\ctm11008.fon
C:\WINDOWS\Fonts\ctm11008.ttf
C:\WINDOWS\Fonts\ctm12004.fon
C:\WINDOWS\Fonts\ctm12004.ttf
c:\programfiles\internetexplorer\powernent.onz
但是我看到大家的查杀方式里都没提到要删除这些文件。这些文件是不是该删除的呢?
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; CIBA)
pigboy - 2009-2-4 11:57:00
.ttf、.FON是字体文件后缀 不过字体文件好象是没有数字的 三楼版主的解释更合理些
天月来了 - 2009-2-4 14:10:00
并不是每个中毒的电脑内这类病毒文件全部运行起来
所以靠SRENG日志看系统情况时
可能看不到,也可能求助的电脑内没有这全部文件
所以只删除几个或一个也没有
不需要没有的的情况下,也要求助的反复折腾
因为求助的在没有文件的情况下,你还要他去删除什么文件
他就会极度怀疑建议的有严重问题
你应该能理解吧?
kevin920 - 2009-2-4 14:16:00
此病毒会在C盘windows目录以及非系统盘根目录和所有含.exe程序的文件夹内注入一个大约7~40kb左右的usp10.dll文件,并改为系统和隐藏属性。一旦注入成功,运行任何一个非系统盘的软件或程序,就会自动加载同目录内的这个usp10.dll文件。连接网络的状态下,此病毒下载明目繁多的“随机数字”名(无后缀)病毒程序到当前用户临时文件夹Temp中。这些程序加载后,在%system%目录下逐一释放病毒dll(很多)。
此病毒利用了系统进入有图片目录都会读取thumbs.db的机会来执行恶意代码,在Windows目录下生成usp10.dll,因为很多程序执行时都会调用系统的usp10.dll。调用的顺序->当前目录->Path指定目录,然后就会调用到Windows下的usp10.dll,然后在各执行程序的当前目录生成usp10.dll,就这样一直COPY下去。
此病毒还会在QQ目录下生成psapi.dll。
USP10.dll本身是字符显示脚本应用程序接口相关文件。存在于C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll。这两个文件是系统文件,大约400~500k左右,生成日期不会是新近日期,和病毒很好区分。
天月来了 - 2009-2-4 14:53:00
没问题吗???
是不是有些软件的字库文件名里包含类似的07015什么的数字名???
你见过:kaka2:
Shadowleaf - 2009-2-4 15:29:00
情况是这样的 我上传了我的SRE日志 大家给我的建议了都没包括有删除上述那几个文件 但是我进行搜索时又搜索到了那几个隐藏文件存在系统中
文物2 - 2009-2-4 15:30:00
你说的有道理,但是字库文件终究是字库文件,字库文件能作什么呢--
天月来了 - 2009-2-4 15:37:00
只是放在那,并在注册表内加个启动而已
放那完全只是因为各家小软件都有清空临时文件夹以及监控系统目录的功能
放在那,基本没什么软件监控那位置的
你见过什么安全软件监控那里:default6:
天月来了 - 2009-2-4 15:38:00
你这问题简单
因为系统日志进程里没见到那几个运行呗
更没见到启动项
所以就算你不删除他们,也是个死文件而已
随便你删还是不删了
© 2000 - 2025 Rising Corp. Ltd.