瑞星卡卡安全论坛
风过2009 - 2009-11-9 17:29:00
原帖由 风过2009 于 2009-11-9 17:29:00 发表
下面有一台杀出病毒如下:
E:\QGS.EXE
D:\QGS.EXE
C:\WINNT\SYSTEM32\WUAUOLTS.EXE
C:\QGS.EXE
风过2009 - 2009-11-9 17:30:00
楼上图是在服务器上杀的!!!
天月来了 - 2009-11-9 17:40:00
那个
E:\QGS.EXE
D:\QGS.EXE
C:\QGS.EXE
应该都是模仿什么文件夹吗??
C:\WINNT\SYSTEM32\WUAUOLTS.EXE这个,应该已经被备份在工具的Backup文件夹内了,去找到压缩发来看看呢
天月来了 - 2009-11-9 17:41:00
那么多电脑,花的时间将是惊人的了:kaka6:
风过2009 - 2009-11-9 17:44:00
刚刚服务器杀了重启,文件夹exe没了。现在又出来了,看来真得一台一台去杀了。郁闷!!!!!:kaka4:
天月来了 - 2009-11-9 17:50:00
我说了嘛,那共享文件夹内,一直被其他电脑里的毒折腾的哟
还有那个服务器里的那C:\WINNT\SYSTEM32\WUAUOLTS.EXE这个,应该已经被备份在工具的Backup文件夹内了,去找到压缩发来看看呢
还有
E:\QGS.EXE
D:\QGS.EXE
C:\QGS.EXE
都在那备份文件夹内呢,都压缩发来看
好奇呢
天月来了 - 2009-11-9 17:54:00
如果此毒仅折腾磁盘根目录下的文件夹的话,考虑去看看哪家电脑将你的这共享文件夹影射为磁盘了。
呵呵!!!
风过2009 - 2009-11-10 8:15:00
原帖由 天月来了 于 2009-11-9 17:50:00 发表
我说了嘛,那共享文件夹内,一直被其他电脑里的毒折腾的哟
还有那个服务器里的那C:\WINNT\SYSTEM32\WUAUOLTS.EXE这个,应该已经被备份在工具的Backup文件夹内了,去找到压缩发来看看呢
还有
E:\QGS.EXE
D:\QGS.EXE
C:\QGS.EXE
都在那备份文件夹内呢,都压缩发来看
好奇呢
这是三台客户机杀出来的备份!
附件:
Backup1.rar 附件:
Backup2.rar 附件:
Backup3.rar
风过2009 - 2009-11-10 8:22:00
原帖由 天月来了 于 2009-11-9 17:54:00 发表
如果此毒仅折腾磁盘根目录下的文件夹的话,考虑去看看哪家电脑将你的这共享文件夹影射为磁盘了。
呵呵!!!
E:\sps(共享) \public \ SPS一课 SPS二课,三,四, 这级目录的4个文件夹被隐藏并产生文件夹exe
\safeapp
\spec
\stdbom
\usefile
public,safeapp,spec,stdbom,usefile,只是被隐藏。 sps共享目录是映射为磁盘了,供一个部目使用,大概20台机。
天月来了 - 2009-11-10 9:24:00
行了,文件已看
不需要再看其他的了
你只管去各台扫描清理去吧
你干脆通知一下,让他们自己去扫描清理得了:kaka6:
风过2009 - 2009-11-10 9:28:00
发现有一台总是扫描都能扫到同样的,????
天月来了 - 2009-11-10 10:19:00
哪台??
扫描清理后的那清理日志scan.log呢???压缩发来看
风过2009 - 2009-11-10 10:50:00
原帖由 天月来了 于 2009-11-10 10:19:00 发表
哪台??
扫描清理后的那清理日志scan.log呢???压缩发来看
日志和backup!!!
附件:
Backup4.rar
天月来了 - 2009-11-10 11:01:00
没特殊的嘛
将这台反复清理不了的系统的SRENG日志拿来我看
始终就那四个文件而已
风过2009 - 2009-11-10 11:12:00
原帖由 天月来了 于 2009-11-10 11:01:00 发表
没特殊的嘛
将这台反复清理不了的系统的SRENG日志拿来我看
始终就那四个文件而已
只要能发现毒的电脑,重启扫描还是一样能扫到。???
附件:
SREngLOG.log
天月来了 - 2009-11-10 11:20:00
我已知道了,你需要去我置顶贴下载冰刃,去将下面文件复制压缩发来
C:\Autorun.inf
C:\QGS.exe
C:\WINNT\system32\nhicx.dll
C:\WINNT\system32\bsii.dll
然后每台电脑都需要用冰刃终止这个文件进程,才能再扫描清理掉其他的,还有可能每天都得断网处理
终止:C:\WINNT\system32\wuauolts.exe
还有你每次扫描完以后,到底重启电脑没有呢??
你动手能力强的话,自己手工用冰刃删除那些文件咯,左右你也知道就那点东西了。:kaka6:
风过2009 - 2009-11-10 12:09:00
原帖由 天月来了 于 2009-11-10 11:20:00 发表
我已知道了,你需要去我置顶贴下载冰刃,去将下面文件复制压缩发来
C:\Autorun.inf
C:\QGS.exe
C:\WINNT\system32\nhicx.dll
C:\WINNT\system32\bsii.dll
然后每台电脑都需要用冰刃终止这个文件进程,才能再扫描清理掉其他的,还有可能每天都得断网处理
终止:C:\WINNT\system32\wuauolts
nhicx.dll没找到。
扫完有重新启动电脑。
附件:
a1.rar
天月来了 - 2009-11-10 13:58:00
你去看看那台电脑的开始菜单的启动文件夹内的那两快捷方式时什么呢??
将其压缩发我看
风过2009 - 2009-11-10 14:14:00
我先断网,结束了wuauolts.exe进程,扫描重启,再扫描还是一样。把wuauolts.exe删除也一样。
启动项没有。
这是注册表RUN项的两个:
1、PHIMETIPSYNC
C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
2、CJIMETIPSYNC
C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
天月来了 - 2009-11-10 14:15:00
这个目前国内瑞星、金山、江民都可杀了,只是你的那些电脑可能没法安装这些杀毒软件并升级吧??
风过2009 - 2009-11-10 14:28:00
都是繁体系统,安装Norton10.0,有升级!!
networkedition - 2009-11-10 14:34:00
国外杀软:kaka6: 国内三大主流都报的:kaka7:
风过2009 - 2009-11-10 14:42:00
呵,,是,都是一些配置低的电脑。没办法啊。跑起来超慢!!
天月来了 - 2009-11-10 14:57:00
那台电脑内的
开始菜单里的“启动”文件夹内,找那两快捷方式发我看
风过2009 - 2009-11-10 14:58:00
版主,现在该如何事好啊???:kaka1:
networkedition - 2009-11-10 15:02:00
54楼不是回复了么:开始菜单里的“启动”文件夹内,找那两快捷方式发我看
天月来了 - 2009-11-10 15:02:00
大致知道点
和一般的文件夹病毒不一样了
程序运行后,向系统目录内释放一个2kb大小驱动文件BGS.sys并加载,然后创建系统目录内的一个和原程序相同文件:system32\wuauolts.exe
然后运行system32\wuauolts.exe 继续创建那BGS.sys驱动,继续加载那驱动。
并且此system32\wuauolts.exe 进程还是隐藏进程,可能任务管理器等简单进程工具无法查看,需要冰刃等工具才能查看到其进程。
然后再创建system32\nhicx.dll文件,并将其注入大量进程内
再下来创建桌面上一个IE快捷方式:指向"C:\Program Files\Internet Explorer\IEXPLORE.EXE"
http://i.163vv.com再下来各盘根目录,移动存储设备等根目录创建病毒文件自身,移动存储设备和共享文件夹内创建所有文件夹的同名病毒程序。
修改被感染系统的注册表项,使系统不能显示隐藏文件,不能显示系统文件。不显示文件扩展名。
试试下面这工具再扫描看如何
附件: LogAction.rar (2009-11-10 16:32:26, 32.31 K)
该附件被下载次数 329
天月来了 - 2009-11-10 15:05:00
至于你45楼的那个日志内的C:\WINNT\system32\bsii.dll文件
你自己考虑是否改名删除了,我不认识那文件
它和此毒无关吧
风过2009 - 2009-11-10 15:13:00
好的,谢谢。
C:\WINNT\system32\bsii.dll是公司ERP软件的。
天月来了 - 2009-11-10 15:14:00
噢
我想要那两快捷方式看呢
很好奇的
© 2000 - 2025 Rising Corp. Ltd.
