瑞星卡卡安全论坛

都不知道怎么进来的。。。。。还好发现及时！不然我就完蛋了！

不过最好还是去改下密码！呵呵！

我自己分析的，不太完整！
1.建议使用XDelBox删除以下文件
c:\program files\exiej\mijc.exe
c:\docume~1\admini~1\locals~1\temp\kpcheck.sys
c:\windows\downlo~1\egedit.ocx
2.删除重启后使用SREng修复下面各项：
    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Data SafeConfig Moudle / SDTM]    <C:\Program Files\exiej\mijc.exe>
    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[KernelCheck / KernelCheck]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\KpCheck.sys>
    系统修复－－　浏览器加载项之如下项删除：
[egsafetextbox Control]    <C:\WINDOWS\DOWNLO~1\egedit.ocx>

裸奔的速度很不错，就是这个病毒有点意外，啥时候溜进来的，我不知道，清除完后换下密码！

呵呵！

给各位实习生创造机会！嘿嘿！:kaka12:

发个样本，不要乱动哈～我上报了的！牛人可以分析下，我手头没有工具！囧

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0)

附件: SREngLOG.log

附件: exiej.rar

用U盘带的江民移动版杀毒ing。。。。:kaka12:

:kaka4:

病毒太可怕了！！

楼主太强大了！！

奇了怪了，又说没给实习生机会。。。。
现在人都不见了。。。。

真奇怪呀真奇怪！

叫你裸奔，被拍落照了吧:kaka13:
已知病毒AdWare.Win32.Delf.ez

。。。。。。。

BS小岛！:kaka9:

如果这人说的对的话，我师父比较幸运哈:kaka12:

只是看看那两个可执行文件

运行时候，没有什么动静

只见任务管理器里有样本的进程

观察一段时间还是没有动静

提供的样本很有可能不是病毒源文件

先别管他是不是病毒源！

日志你们分析得怎么样呀？

“半年”才有一个来。。。。。我都汗死了！:kaka3:

分析的日志没有漏洞

只是看日志的话，没看出什么:kaka11: 。。。
请赐教。。。

倒。。。。。

就我说的那些就没了？

看来我多疑了！

以下是两个程序的行为
(CA行为分析器)

555555  虚拟硬盘 VHD文件让我误删了
我的CA规则啊，那可是花了我2天时间的:kaka4: :kaka4:


mijc.exe









mxemm.exe