瑞星卡卡安全论坛
baohe - 2009-6-7 8:21:00
你有点儿教条哦!
事事都指望SRENG日志。
若要判断是否中了这个毒,不用看那令人眼花缭乱的日志,按28楼所示搜索一下,即有答案。
野渡无人舟自横 - 2009-6-7 8:28:00
还好 没搜索到.exe.exe 多谢:kaka12:
天月来了 - 2009-6-7 8:47:00
游戏迷是一时糊涂而已
这丫的有毒没毒,他还不清楚么
任何一个可以监视进程的安全软件,都可以完美阻止病毒一开始的运行
我不信他连个进程监视类的安全软件都没用过??
zhangjun1234567 - 2009-6-7 10:32:00
[quote] 原帖由 baohe 于 2009-6-6 15:06:00 发表
关于“恭喜你成为今日幸运星”病毒
版主, 关于删除病毒添加服务项 的那个软件 AUTORUNS
那里有下?
天月来了 - 2009-6-7 10:36:00
我置顶工具贴,你不习惯去找找:kaka2:
咕噜猪zzZ睡觉觉 - 2009-6-7 10:36:00
貌似以前也看到过……
:kaka11:
backway - 2009-6-7 11:14:00
并没有发现运行正常exe也会触发同名的exe.exe
只是运行exe.exe才会使病毒复发
还会在C:\Documents and Settings\All Users\「开始」菜单\程序\启动下添加exe.exe的快捷方式
我虚拟机上添加的是C:\Documents and Settings\All Users\「开始」菜单\程序\启动\C:\Program Files\COMODO\COMODO Internet Security\cfp.exe.EXE.lnk
病毒发作时....任务管理器 没法用,会直接结束进程....不清楚用的是哪种方法,改名同样不行
非系统盘里的exe会直接感染,之后运行时会释放同名的exe.tmp并运行
生成的bat:
59DG54J1AC79P02IQG6MQ97HY
sc.exe create E9RRVFRBinPath= "C:\Program Files\JBSX3C2V\TG2ASKY.exe -start" type= own type= interact start= auto DisplayName= E2P24AVB
ZC944X3XVQZAZKS9X 在注册表和服务数据库中创建服务
regsvr32.exe /u /s shimgvw.dll
TSOMWJSPWM23THW
regsvr32.exe /u /s itss.dll
Q6FHCQGX0AA3NI3BKTM
regsvr32.exe /u /s scrrun.dll
LZLY9JDZ53YJ95JGB
regsvr32.exe /u /s vbscript.dll
GTS0IZEB2EATWB3SAHIZW
regsvr32.exe /s jscript.dll ......反注册部分dll
DMYNN4C23HIH35XD8TP
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F 用no强行覆盖yes
F5AUD8XN6T572FT
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
96D298QUZQJZ7
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
69CU40V6OIN3J0OBS4
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
10HHPQP4UKZD8B2
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisableScriptDebuggerIE /t REG_SZ /d yes /F 禁止脚本调试
YUPEK1BZU5LUHYCGNDJG
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
TNV0ZEYR6EVKAWDLP
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F 删除启动项
NG2PJM0KIXATHQ
del C:\WINDOWS\Media\*.* /Q 删除media下的文件
KA8CQ7SISICMHTRH74Q
del %0 删除自身
exit
F6VG1PKDU0DKX17X
baohe - 2009-6-7 11:20:00
查系统分区有没有这几个病毒文件。如果有,运行原来的程序,肯定激活病毒。
如果没有,怀疑你是在虚拟机中运行病毒样本的结果(病毒运行不全)。
backway - 2009-6-7 11:57:00
是在虚拟机里运行的
系统分区下的exe文件本来就没受到影响,只是在旁边创建了同名的exe.exe病毒文件
只是运行exe.exe才会激活病毒......
莫非实机和虚拟机运行结果不一样......
钱夫子 - 2009-6-9 11:50:00
就在刚才,看新浪NBA时点开了一个评论者的博客中的链接,后来出现多个提示窗口,基本都属于楼主发的中毒症状,不过只看到了文字提示,没看到图片.........
我立即点了右上角的XX,然后关闭掉所有刚打开的选项卡(用的是360浏览器),其他没发现异常。 然后按照猫叔28楼所说搜索了一下硬盘,未发现.exe.exe文件
应该是没中毒吧,暗自庆幸:kaka6: :kaka5:
夏雪男儿 - 2009-6-9 23:51:00
没有 .exe.exe文件也是有这个病毒,用瑞星都没杀出来
迷失の坏坏 - 2009-6-11 16:11:00
hehe:kaka1:
求救wwwwwwwwww - 2009-6-12 11:42:00
我家也是这个现象 瑞星根本杀不了#83.
希望能尽快解决
小菜鸟55 - 2009-6-12 13:38:00
问下..COMODO可以防的住吗..我是COMODO加NOD32
天月来了 - 2009-6-12 14:28:00
如果你误运行你以为没被感染的正常程序,就很难说了
合理使用任何目前主流的安全软件,大致都能防护防护
zoxmes - 2009-6-13 16:04:00
样本在哪?
是中毒之后才会劫持IE吗?
淩乱德心情↘ - 2009-6-13 16:14:00
感染性病毒就是强啊
Oo随风 - 2009-6-13 20:23:00
:kaka6: 俺中过,而且现在中的比那个还猛!只要一上网开网页就弹出什么“非常7+1砸金蛋”什么“设计艺术签名”什么“哪个游戏最好玩”。。。之类的一大堆网页!最可怕的是回回杀回回在,比我来电脑前报到的还准时,我都快疯了。。又是个新手真不知道怎么办了
Akira彰 - 2009-6-14 11:04:00
貌似有的网站一上去就有啊,但是我这里正常关掉以后也没有后遗症,只要不上那个网就没有:kaka2: 这是什么道理啊
偶是高达 - 2009-6-14 11:56:00
我上极影动漫论坛BT发布页时,弹出过类似的,也是答答网样子,答对拿手机,我取消了,以后就再么碰到过了,不知道中么中标,反正用瑞星查了么有,全盘搜了.EXE.EXE这个文件也么
哎呀哟 - 2009-6-15 19:47:00
我是超级大菜鸟。。问下
一:ouz189BBK是什么东西。为什么我电脑里没有。。?
二:也没有C:\Program Files\autorous和E:\autorous
三:结束进程是进的什么文件? 貌似不是ctrl+Alt+DEL
四;什么叫系统分区类的病毒?怎么区分?
我是菜鸟。。请大家帮忙耐心些。。
chujunji - 2009-6-17 19:30:00
哦 我也遇到过这种情况 不过我的电脑好像没事哦~~~
keawoo - 2009-6-28 0:13:00
我电脑也有这种中奖症状,但是搜了下没有发现你说的这种毒,后来我用P2P软件查看局域网发现有台电脑一上网,我就会出现这个东西,他不上网我就没事...请问下要怎么解决,郁闷的很....
小菜鸟55 - 2009-6-29 16:36:00
老天。.猫叔..偶也差点吃到这病毒。.被我快速关闭掉了加个断网杀毒呵呵
© 2000 - 2025 Rising Corp. Ltd.
