瑞星卡卡安全论坛
无忧之树 - 2009-4-11 20:47:00
我们公司很多电脑中了病毒,GHOST系统后第二天又中了,并且已经将可疑文件全部干掉,很是奇怪这毒这么历害。是不是只要一中,仍然会记住IP进行第二次攻击。最明显的是这两个:
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
zoxmes - 2009-4-11 20:53:00
病毒主体不在系统盘中,即使是怎么重装,也会不断生成病毒的。
建议把SRENG日志发过来吧
==点此高速下载SRENG分析工具==解压缩后打开主程序,
然后智能扫描-全选-扫描日志后把日志存放到桌面上,
方便上传然后上传上来让专业人士来分析:)
aaccbbdd - 2009-4-11 20:54:00
Sreng官方下载SREng/智能扫描(
记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
无忧之树 - 2009-4-11 21:11:00
已经将其它盘文件清理了,最有可疑的是QQ目录下的这个。现在上传过来给专业人士。我后来没有办法禁止所有程序从TEMP目录运行、禁止从TEMP文件夹执行脚本,禁止公用程序从TEMP目录运行。禁止在WINDOWS文件夹中创建新的可执行文件,禁止在SYSTEM32文件夹中创建新的任何文件才好了。建议瑞星在软件中也增加一些类似用户自定义设置在病毒库无法对付新病毒时保护用户。
附件:
455.rar
aaccbbdd - 2009-4-11 21:25:00
Trojan.Win32.VBCode.nw
瑞星可以删除
zoxmes - 2009-4-11 21:34:00
:default3: :default3: 是在公司内网里面,单杀一台机子是没有用的,
传播速度比你杀的速度要快,
楼主试一下把网给断了,然后再杀看看吧
浪漫纸箱 - 2009-4-11 22:04:00
用记事本打开autorun看看里面写的什么,发上来。:default7:
另外,病毒可不可能到镜像里面呢?
无忧之树 - 2009-4-11 22:23:00
[quote] 原帖由 zoxmes 于 2009-4-11 21:34:00 发表
:default3: :default3: 是在公司内网里面,单杀一台机子是没有用的,
传播速度比你杀的速度要快,
楼主试一下把网给断了,然后再杀看看吧
克隆机子后,升级杀软如果能搞定,还会中毒。那防火墙还要来做什么?如局域网有200台机子。是不是要全部断开,什么时候搞定什么时候才能上网。如果这样我还用干了,准备快点走人得了。
无忧之树 - 2009-4-11 22:26:00
[quote] 原帖由 浪漫纸箱 于 2009-4-11 22:04:00 发表
用记事本打开autorun看看里面写的什么,发上来。:default7:
另外,病毒可不可能到镜像里面呢?
镜像中绝对无毒,代码如下:[AutoRun] shell\open=打开(&O) shell\open\Command=GRIL.PIF shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\command=GRIL.PIF
无忧之树 - 2009-4-11 22:29:00
原帖由 aaccbbdd 于 2009-4-11 21:25:00 发表
Trojan.Win32.VBCode.nw
瑞星可以删除
提取的文件当然可以了,连我看一眼都知道这东东不是个好东西呢。今天我没有上班,不知道这两个解决没有?
浪漫纸箱 - 2009-4-12 15:52:00
嗯 收到
GRIL.PIF 就可能是病毒文件了。晕 我们学校电脑上也是这类型病毒。不过找不见病毒文件路径。只有个快捷方式指向病毒文件。
瑞星能杀么?提取了后发到可疑文件交流区么?:default7:
天月来了 - 2009-4-12 16:04:00
恢复GHOST系统后是否还会中毒
最最重要的是需要知道你是否又去打开其他盘,是否又去使用其他盘文件
是否又去开网页去自己以为没问题的网站了
是否局域网内其他电脑影响你
是否使用了移动存储设备
这期间的任何一个过程,都可能导致你反复中同一种病毒
将那磁盘根目录下的两个文件压缩后发来吧
浪漫纸箱 - 2009-4-12 16:17:00
天月师兄可是那个是一个快捷方式,不是原文件呀?:default27:
aaccbbdd - 2009-4-12 16:19:00
:default10:
貌似熊猫烧香病毒就是pagefile.pif:default10:
文件类型:指向 MS-DOS 程序的快捷方式
天月来了 - 2009-4-12 16:23:00
先不管它是否是快捷方式
就算是,也可以文件发来,看其指向的文件呀
况且那又不是快捷方式
你只是看那小箭头了???
taylor05771 - 2009-4-12 16:24:00
PIF只是一个后缀而已 实际上就是病毒文件主体。
局域网中传播的手段很多 网络是一种方式 U盘等移动储存也是一种办法
浪漫纸箱 - 2009-4-12 16:29:00
呵呵。明白了:default6:
无忧之树 - 2009-4-12 19:28:00
原帖由 天月来了 于 2009-4-12 16:04:00 发表
恢复GHOST系统后是否还会中毒
最最重要的是需要知道你是否又去打开其他盘,是否又去使用其他盘文件
是否又去开网页去自己以为没问题的网站了
是否局域网内其他电脑影响你
是否使用了移动存储设备
这期间的任何一个过程,都可能导致你反复中同一种病毒
将那磁盘根目录下的两个文件压缩后发来吧
附件如下
附件:
455.rar
无忧之树 - 2009-4-12 19:43:00
原帖由 浪漫纸箱 于 2009-4-12 15:52:00 发表
嗯 收到
GRIL.PIF 就可能是病毒文件了。晕 我们学校电脑上也是这类型病毒。不过找不见病毒文件路径。只有个快捷方式指向病毒文件。
瑞星能杀么?提取了后发到可疑文件交流区么?:default7:
中了这个毒,最明显是根目录下这两个。另外还有:gdiplus.exe thunder.exe 36osafe.exe T1MPLatform.exe gdi.exe 另外调用C:\Program Files\Outlook Express下的wab.exe进行什么玩意儿,(可能是利用其中的漏洞)还有如果中毒未深。还会调用office装某一个插件,如果你点确定安装,重启后中毒就严重了。(调用这个可能是方便利用office漏洞)
天月来了 - 2009-4-13 9:20:00
那磁盘根目录下的两个文件
不是你那附件里的东西
无忧之树 - 2009-4-13 19:11:00
原帖由 天月来了 于 2009-4-13 9:20:00 发表
那磁盘根目录下的两个文件
不是你那附件里的东西
不好意思啊,搞错了。
附件:
rav.rar
天月来了 - 2009-4-13 19:25:00
最新版本瑞星已可杀
建议你升级瑞星杀毒软件至最新版本,全盘杀毒
1
© 2000 - 2025 Rising Corp. Ltd.
