瑞星卡卡安全论坛
taro0401 - 2009-2-23 17:53:00
好的,我直接卸载了
天月来了 - 2009-2-23 17:58:00
这个毒确实又做免杀处理的
前一阵出现的时候,已经各家能杀了的
现在又大部分不杀了
taro0401 - 2009-2-23 18:03:00
天月来了 - 2009-2-23 18:09:00
你扫描后重启电脑,这些病毒竟然一个都没变,显示文件还在,不知道到底它感染哪些文件,或许现在它感染系统盘C盘的部分程序了吧
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804删除:
C:\WINDOWS\X6OSYBV6B.exe
C:\WINDOWS\7SMC9VDI.exe
C:\WINDOWS\js325023l.dll
C:\WINDOWS\M8BJVWTCE3Q.exe
C:\WINDOWS\UIWQ0VZ97.exe
不论删除结果如何立即重启电脑,看情况如何。
然后再扫描那个清理我看
天月来了 - 2009-2-23 18:13:00
哎呀哎呀
乱了乱了
我看那图,腻还没重启电脑呢
到底重启没有哟??
难道重启后还有???日志是重启后的么?
taro0401 - 2009-2-23 18:15:00
公司要锁门,不好意思,麻烦你了,我明天来了给你上传
天月来了 - 2009-2-23 18:19:00
好吧
反正得等杀毒软件升级呢
天月来了 - 2009-2-24 8:02:00
这毒我一直没去实机测试
昨晚测试了一下
它运行后做主要的几件事:
1、释放一个28kb的文件到C:\Program Files文件夹内。
2、检测C:\Program Files文件夹内所有包含.exe文件,在其同目录内复制病毒自身,并将文件名改为和那些正常的.exe同名,只是后面多加个扩展名.com
3、在系统内创建自身服务启动项,并向系统Windows文件夹内注入自身,其注入的文件随机名,服务启动项目也随机名。
4、在开始菜单当前用户名的“启动”文件夹内创建一个msdos的快捷方式,指向C:\Program Files\目录内一个固定的随机名病毒,也是病毒自身复制到那位置的,
5、检测其他盘所有.exe文件,将刚才释放的那28kb文件的内容代码写入其他盘的.exe文件中,那些被感染的.exe文件也能运行,但是运行后将在同目录内释放一个相同名,但是后缀扩展名.tmp的文件,这释放出来的这个就是正常的原文件。
例如你D盘有个D:\QQ.exe被感染。
那么当你去运行D:\QQ.exe时,会在D:\目录内释放一个D:\QQ.exe.tmp文件,这就是感染前的正常文件了。
我测试发现,我那工具能够检测出所有这种被感染的文件,只是检测到全部删除,所以你自己考虑是否还想慢慢的一个一个程序自己运行并找回原文件。
其他的病毒都容易清除。
taro0401 - 2009-2-24 10:36:00
早上来,我从新恢复GHOST,居然还是发现有那病毒,。,,。貌似就算格式化C盘也不性?是不是重新分区硬盘也杀不掉这个病毒
taro0401 - 2009-2-24 10:37:00
还有我装了AVAST也杀不掉,,老是反复提示那几个病毒,点删除,点移动隔离区,点修复,。点重新命名,都还是会再次提示那个文件是病毒
天月来了 - 2009-2-24 10:42:00
你没细看我说的内容??????
你到底其他盘被感染的软件还要不要了??
如果决定不要了
我就给你附件清理
taro0401 - 2009-2-24 10:49:00
不要~~我再装吧
taro0401 - 2009-2-24 10:55:00
不然我给你扫描一个新日志,你就告诉我要彻底清除病毒怎么做,删除EXE文件也没关系,只要能清除干净
天月来了 - 2009-2-24 10:58:00
那你下载下面两个附件
先用第一个附件扫描清理,提示重启电脑的时候,你不重启,再用第二个附件扫描清理
将第一个附件的扫描日志scan.log文件发我看
还有第二个附件扫描清理后的情况,也象昨天那样抓图我看
最后重启电脑
再运行他们扫描清理一次
还提示有毒,就再告诉我哪个位置,以及SRENG日志
附件: AntiFldVir.rar (2009-2-24 10:58:01, 16.97 K)
该附件被下载次数 124
附件: 扫描器.rar (2009-2-24 10:58:01, 214.57 K)
该附件被下载次数 134
天月来了 - 2009-2-24 11:06:00
这次应该可以清除完了
因为我昨天已经测试过该病毒
第一个附件清除病毒主程序文件
第二个附件可以检测到所有被感染的.exe文件并删除。
taro0401 - 2009-2-24 11:39:00
天月来了 - 2009-2-24 11:44:00
汗
我晕死了
那日志我忘记清空我昨晚的内容了
其他的呢??
你删除那scan.log日志文件,再扫描吧
taro0401 - 2009-2-24 11:46:00
第二个扫描正在扫
你说把第一个的扫描日志删掉,再扫描一次吗
taro0401 - 2009-2-24 11:48:00
那个日志是你的啊??
我刚才用第一个扫描出来说是没有扫描到什么
taro0401 - 2009-2-24 11:51:00
第二个扫描器扫描完了,什么也没有扫描到
taro0401 - 2009-2-24 11:52:00
要不我用SRENG扫描一次给你吧
taro0401 - 2009-2-24 11:53:00
虽然说两个扫描都没扫描出东西,可是360一直提示有程序写入,,还一直弹IE窗口
taro0401 - 2009-2-24 11:57:00
天月来了 - 2009-2-24 12:51:00
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804删除:
C:\WINDOWS\crsm.exe
C:\WINDOWS\system32\jfxk.exe
不论删除结果如何立即重启电脑,看情况如何。
你到底几台电脑???
这台电脑内确实没那病毒呀
你昨天有那毒的电脑是哪个电脑哟????
天月来了 - 2009-2-24 12:53:00
噢
你恢复了GHOST
嘿
我忘记了:default3:
taro0401 - 2009-2-24 12:58:00
还是哪一台,但是恢复GHOST以后我查过还有的,刚才用AVAST杀过一次,之后就吧AVAST给卸载了 ,,难道是 已经被杀掉了 ?
我先坐玩54楼的步骤
taro0401 - 2009-2-24 12:59:00
taro0401 - 2009-2-24 13:02:00
操作54楼的步骤,提示
C:\WINDOWS\crsm.exe不存在
成功C:\WINDOWS\system32\jfxk.exe
天月来了 - 2009-2-24 13:02:00
就删除那个操作一遍,然后重启电脑,应该没什么了
其他盘程序你自己考虑吧
应该是被avast杀了
taro0401 - 2009-2-24 13:07:00
重新启动后最新的日志
附件:
SREngLOG.log
© 2000 - 2025 Rising Corp. Ltd.