瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中病毒后感染其他电脑的机子
肆虐人生 - 2009-7-6 14:43:00
局域网内一台机子病毒袭击了内网服务器

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log
帅哥阿福 - 2009-7-6 14:49:00
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\339DCF\81E587.EXE
C:\WINDOWS\vDll.dll
C:\WINDOWS\rundl132.exe
[C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\krnln.fnr]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\com.run]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\shell.fne]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\dp1.fne]  [N/A, ]
    [C:\DOCUME~1\yh\LOCALS~1\Temp\E_4\eAPI.fne]  [N/A, ]

上传病毒样本到可疑文件交流区,地址为:http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为:http://mailcenter.rising.com.cn/uploadnew.aspx
肆虐人生 - 2009-7-8 9:18:00
下面是提取的文件

附件: tq.rar
天月来了 - 2009-7-8 9:44:00
最重要的C:\WINDOWS\system32\339DCF\81E587.EXE文件没提取来。可惜了
天月来了 - 2009-7-8 9:46:00
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载

删除:
C:\WINDOWS\system32\339DCF\81E587.EXE
C:\WINDOWS\vDll.dll
C:\WINDOWS\rundl132.exe

不论删除结果如何立即重启电脑,看情况如何。

杀毒软件升级至最新版本全盘杀。

记得打全系统漏洞补丁
肆虐人生 - 2009-7-8 9:50:00
C:\WINDOWS\system32\339DCF\81E587.EXE
这个文件不知道怎么没了!所以提取不出来
天月来了 - 2009-7-8 9:57:00
没有就不管它了,它是另一种病毒,只是个文件夹病毒而已

但是那C:\WINDOWS\vDll.dll和C:\WINDOWS\rundl132.exe就麻烦了,先删除吧。

可能这感染性的处理比较麻烦,需要关闭系统Windows文件夹外的其他所有程序类文件的开机自启动才行。

因为其他文件夹和其他盘内的会开机自启动的程序,在你重启电脑后,一旦那些程序自启动运行,可能又会生成那些病毒文件。

所以你能保证被感染的程序不开机自启动,基本上就可以利用杀毒软件升级全盘杀了。
肆虐人生 - 2009-7-8 10:28:00
如何能保证被感染的程序不开机自启动,且被感染的程序有那些又何以知晓?
是否是msconfig启动项里面禁止启动不明程序就可以呢?
夲號ヱ被ジ盜 - 2009-7-8 10:35:00


引用:
原帖由 肆虐人生 于 2009-7-8 9:50:00 发表
C:\WINDOWS\system32\339DCF\81E587.EXE
这个文件不知道怎么没了!所以提取不出来


是不是文件夹图标的
双击我的电脑-工具-文件夹选项,像我这样设置
看看是不是后缀为EXE的文件夹
那文件删除了的话,本贴无视就行
天月来了 - 2009-7-8 10:37:00
比如说,从你的日志看,以下非Windows文件夹内的其他地方的程序就是开机自启动的,你可以先将他们改名,重启电脑就不开机自启动了。等全盘杀毒完以后,再改回来
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <PDF Complete><C:\Program Files\PDF Complete\pdfsty.exe>  [(Verified)PDF Complete]
    <SetRefresh><C:\Program Files\Compaq\SetRefresh\SetRefresh.exe>  [Hewlett-Packard Company]
==================================
服务
[Contrl Center of Storm Media / ccosm][Running/Auto Start]
  <C:\Program Files\StormII\stormliv.exe /asservice><北京暴风网际科技有限公司>

[IviRegMgr / IviRegMgr][Running/Auto Start]
  <C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe><InterVideo>

[PDF Document Manager / pdfcDispatcher][Running/Auto Start]
  <C:\Program Files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService><PDF Complete Inc>
==================================
正在运行的进程
[PID: 428 / SYSTEM][C:\Program Files\StormII\stormliv.exe]  [北京暴风网际科技有限公司, 3, 8, 3, 15]
[PID: 424 / yh][C:\Program Files\Messenger\msmsgs.exe]  [Microsoft Corporation, 4.7.3000]
[PID: 608 / SYSTEM][C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe]  [InterVideo, 1, 0, 4, 0]
[PID: 840 / SYSTEM][C:\Program Files\PDF Complete\pdfsvc.exe]  [PDF Complete Inc, 3.5.22.2001]
[PID: 2740 / yh][E:\bsoft\zsxt\winzsxt.exe]  [, ]
1
查看完整版本: 中病毒后感染其他电脑的机子
© 2000 - 2025 Rising Corp. Ltd.