关于“恭喜你成为今日幸运星”病毒 bbs.ikaka.com

baohe - 2009-6-6 15:06:00

关于“恭喜你成为今日幸运星”病毒

1、中毒后的症状：

2、中招后，系统分区与非系统分区可执行程序.exe的不同表现：

（1）系统分区程序文件夹中的.exe：本身不被病毒感染，但正常.exe的同一位置有与该.exe同名的128KB的病毒文件.exe.exe生成。即使运行未被病毒感染的.exe，也可激活病毒。

（2）非系统分区的.exe：被病毒感染，文件增大，MD5改变。

3、系统分区的手工杀毒流程：

结束病毒及病毒相关进程：

按中毒日期搜索.exe文件：

删除搜索到的系统分区内的病毒文件：

删除病毒添加的服务项：

经上述手杀处理后，系统分区的应用程序已经可以正常运行且不会导致病毒激活。

4、说明：中此毒后，注册表被篡改的部位很多。手工恢复非常麻烦。如果有系统备份或整个硬盘备份，最好用备份恢复系统。
非系统分区的被感染文件，只有等升级杀软病毒库后处理。杀软能否清除其中的病毒代码使那些被感染程序恢复正常，就看你所使用的具体杀软了。
作为一种变通，如果你的非系统分区的.exe不是很重要，可以直接删除之那些应用程序，再重新安装。
总之，非系统分区未处理干净前，不要运行其中的应用程序。

用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

天月来了 - 2009-6-6 15:26:00

（1）系统分区程序文件夹中的.exe：本身不被病毒感染，但正常.exe的同一位置有与该.exe同名的128KB的病毒文件.exe.exe生成。即使运行未被病毒感染的.exe，也可激活病毒。

这玩意靠什么激活的呢？？？

baohe - 2009-6-6 15:28:00

引用:

原帖由 天月来了 于 2009-6-6 15:26:00 发表
（1）系统分区程序文件夹中的.exe：本身不被病毒感染，但正常.exe的同一位置有与该.exe同名的128KB的病毒文件.exe.exe生成。即使运行未被病毒感染的.exe，也可激活病毒。

这玩意靠什么激活的呢？？？

那个同名.exe.exe

天月来了 - 2009-6-6 15:42:00

我知道有同名.exe.exe 的文件的存在

我是想问当*.exe运行的时候，病毒靠什么迫使*.exe.exe也启动？？？

aaccbbdd - 2009-6-6 15:43:00

*.exe会调用*.exe.exe :kaka2:

汗
？:kaka2: 感染型的
这个狠

baohe - 2009-6-6 15:43:00

引用:

原帖由 天月来了 于 2009-6-6 15:42:00 发表
我知道有同名.exe.exe 的文件的存在

我是想问当*.exe运行的时候，病毒靠什么迫使*.exe.exe也启动？？？

没仔细观察:kaka4:

估计是靠WINDOWS目录下那两个（实际是同一个）以服务加载的病毒程序.exe。

天月来了 - 2009-6-6 15:51:00

呵呵！！

我以前测过它，它的系统盘内的程序运行后激活*.exe.exe的情况，前提可能是需要已经进程内有病毒活动了，才能有这效果

只要进程内无病毒活动，运行系统盘的一些程序，是不激活那些的。

此毒还算好处理

baohe - 2009-6-6 15:55:00

引用:

原帖由 天月来了 于 2009-6-6 15:51:00 发表
呵呵！！

我以前测过它，它的系统盘内的程序运行后激活*.exe.exe的情况，前提可能是需要已经进程内有病毒活动了，才能有这效果

只要进程内无病毒活动，运行系统盘的一些程序，是不激活那些的。

此毒还算好处理

问题是：

有些人瞎讲究－－－－－C分区只装系统，应用程序装在非系统分区。这毒恰恰感染非系统分区的.exe:kaka6:

天月来了 - 2009-6-6 15:58:00

这问题一贯是网络求助中清理感染型病毒的老难题

几乎所有清理感染型病毒失败的人，都是那毛病，将大量软件安装在非系统分区了，尤其是安全软件这些开机自启动的软件。

newcenturymoon - 2009-6-6 16:37:00

样本呢？

天月来了 - 2009-6-6 16:39:00

瑞星已可杀

你还想要么:kaka2:

newcenturymoon - 2009-6-6 16:40:00

报的病毒名？

天月来了 - 2009-6-6 16:49:00

恩

这全是的

newcenturymoon - 2009-6-6 16:56:00

清除之后能正常运行吧？

天月来了 - 2009-6-6 17:15:00

这我没试

他们说可以运行

http://bbs.janmeng.com/viewthread.php?tid=871909&extra=page%3D1

你自己去看吧

baohe - 2009-6-6 17:24:00

引用:

原帖由 newcenturymoon 于 2009-6-6 16:56:00 发表
清除之后能正常运行吧？

比较瑞星2009清除病毒后的autoruns.exe与未被感染过的autoruns.exe：MD5值不同

尽管二者的文件大小相同

经瑞星2009处理过的被感染.exe运行后：报错。

未经病毒感染的同一.exe运行后：正常。

baohe - 2009-6-6 17:28:00

引用:

原帖由 天月来了 于 2009-6-6 17:15:00 发表
这我没试

他们说可以运行

http://bbs.janmeng.com/viewthread.php?tid=871909&extra=page%3D1

你自己去看吧

不知他们用啥杀软清除病毒的。瑞星2009清除过病毒的被感染文件－－－－不能运行。

超级游戏迷 - 2009-6-6 17:28:00

说说预防：

此问题俺也遇到过，我发现在登陆一些带毒网站后，会直接弹出1楼第2个图的对话框，此时，千万不要点“确定”，如果点了就中计了。

如果此时不点“确定”，你会发现无法正常离开这个陷阱网页，个人采取的处理方法是：

1、任务栏上右键，选择“任务管理器”；

2、进入任务管理器后，切换到“应用程序”选项卡；

3、到下方列表中找到那个什么中奖的项目，单击选定后，选择“结束任务”按钮；

4、之后你会发现所有打开的的网页都被关闭了，OK，之后就别再登陆那个网页了；

5、断开网络连接，清空IE临时文件。

我遇到过好几次，都是采取上述办法及时退出，没有发现计算机被感染，说明该毒是可以预防的。

【建议】在网上冲浪时，不要有投机和侥幸心理，天上不会掉馅饼……

baohe - 2009-6-6 18:18:00

这个毒，等你看到那个对话框，文件感染动作已经完成。:kaka12:

aaccbbdd - 2009-6-6 18:21:00

这个病毒到底是嘛途径传播的？

超级游戏迷 - 2009-6-6 18:22:00

引用:

原帖由 baohe 于 2009-6-6 18:18:00 发表
这个毒，等你看到那个对话框，文件感染动作已经完成。:kaka12:

这毒这么牛？我再检查下……:kaka11:

aaccbbdd - 2009-6-6 18:24:00

:kaka6:
游戏迷说的是单纯的网络钓鱼吧
不一定夹带病毒吧

这个病毒
先感染
后钓鱼:kaka7:

baohe - 2009-6-6 18:27:00

引用:

原帖由 aaccbbdd 于 2009-6-6 18:21:00 发表
这个病毒到底是嘛途径传播的？

网络。

中毒前，IE8 有明显提示。若能正确回应IE8的提示，没事。

超级游戏迷 - 2009-6-6 18:33:00

估计如22楼所说，和猫叔说的不是一档子事，日志看了三遍，病毒的毛都没找见，也许我眼睛看花了？

附件: SREngLOG.log

aaccbbdd - 2009-6-6 18:35:00

汗
你的情况和猫叔说的不是一回事吧:kaka6:

不错
启动项够少

野渡无人舟自横 - 2009-6-6 19:10:00

引用:

原帖由 baohe 于 2009-6-6 18:18:00 发表
这个毒，等你看到那个对话框，文件感染动作已经完成。:kaka12:

我在逛一个动漫论坛时也遇到这个看到这个框我用任务管理器结束了IE 之后没扫描到病毒啊版主能确认已经中毒吗

天月来了 - 2009-6-6 19:14:00

这只是此病毒运行后跳出的网络界面

有类似行为的网络界面多的一塌糊涂

哪能看到类似的都是此毒哟:kaka6:

baohe - 2009-6-6 19:44:00

引用:

原帖由 野渡无人舟自横 于 2009-6-6 19:10:00 发表

引用:

原帖由 baohe 于 2009-6-6 18:18:00 发表
这个毒，等你看到那个对话框，文件感染动作已经完成。:kaka12:

我在逛一个动漫论坛时也遇到这个看到这个框我用任务管理器结束了IE 之后没扫描到病毒啊版主能确认已经中毒吗

要判断自己的电脑是否中了这个毒，有个简单的办法：按下图所示设置搜索。若能搜到.exe.exe文件，那就是中此毒了；若搜索不到.exe.exe，就没中此毒。

落叶伤 - 2009-6-6 21:15:00

是不是只要这个网页出现的电脑都有中毒啊，瑞星查不出来吗？？
会有什么异常啊:kaka2:

天月来了 - 2009-6-7 7:54:00

我27楼回的，你没看:kaka6:

瑞星卡卡安全论坛