瑞星隔一段时间就弹出有病毒 au.exe bbs.ikaka.com

yingshenlan - 2010-4-2 10:28:00

瑞星隔一段时间就弹出发现未知木马病毒 au.exe
用最新版本的瑞星，卡卡都杀不出来
在我的电脑里也找不到这文件
而且电脑老是显示内存错误.特别是刚开机,打开QQ时,
这到底是不是病毒啊
怎么杀哈

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; baiduie8)

附件: SREngLOG.log

附件: 病毒样本run1.rar

附件: home.rar

networkedition - 2010-4-2 10:47:00

发个报警的截图来看一下。

梅罗 - 2010-4-2 13:51:00

使用System Repair Engineer扫描日志，将日志作为附件上传至瑞星论坛分析一下。
下载链接：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。

辛达星郁 - 2010-4-3 12:52:00

删除下面的文件
c:\windows\run1.vbs

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[newwork] <C:\WINDOWS\run1.vbs>

操作完之后，看看是否还会有

超级游戏迷 - 2010-4-3 12:59:00

找到c:\windows\run1.vbs这个文件后先别删除，用WINRAR压缩后，把压缩包传上来（压缩文件名称请注明为“病毒样本”），然后再按楼上说的做下……

yingshenlan - 2010-4-3 13:02:00

不好意思哈
不是每次都会出现那个警报的哦
出现了我就发上来
谢谢你们哦

辛达星郁 - 2010-4-3 13:08:00

引用:

原帖由 yingshenlan 于 2010-4-3 13:02:00 发表
不好意思哈
不是每次都会出现那个警报的哦
出现了我就发上来
谢谢你们哦

不用每次出现，你按照路径找到它，把它打包上传论坛

辛达星郁 - 2010-4-3 13:38:00

已经上报，下面是查询代码

RS20100402183205375685

辛达星郁 - 2010-4-3 13:47:00

:kaka2: 不对呀？

上传文件的怎么是可执行文件exe格式的，那个文件明明是vbs脚本文件

夲號ヱ被ジ盜 - 2010-4-3 14:06:00

c:\windows\home.cmd
这个再发上来
谢谢！

yingshenlan - 2010-4-3 14:34:00

是vbs的哈

天月来了 - 2010-4-3 14:41:00

C:\WINDOWS\run1.vbs要执行c:\windows\home.cmd文件

所以还得去找c:\windows\home.cmd文件看到底做了些什么

你上传的确实是.vbs文件

yingshenlan - 2010-4-3 14:48:00

已经上传
谢谢

天月来了 - 2010-4-3 14:54:00

两文件全部删除即可

仅是个恶意修改你的IE默认主页的东西

天月来了 - 2010-4-3 14:55:00

至于au.exe问题，就不知道了

yingshenlan - 2010-4-3 15:14:00

谢谢哈

超级游戏迷 - 2010-4-3 16:45:00

这个貌似某些软件被卸载后自动联网征求用户体验意见的一个DD，我卸载迅雷后出现过，个人感觉该文件正常的可能性大一些，本意见仅供参考。

对了，这个文件的文件名是au.exe，还是au_.exe，记不清了。

超级游戏迷 - 2010-4-3 17:53:00

home.cmd这个文件内容为：
===================
@reg add "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /v "" /d "\"C:\Program Files\Internet Explorer\IEXPLORE.EXE\" http://www.5151la.net" /f
@exit
===================
正如天月版主所说，该文件利用命令行修改注册表项数据，达到一运行IE进程就首先登陆http:\\www.5151la.net这个网址的目的。即便在IE窗口修改主页设置，也仍是首先登陆这个网址，属于典型的流氓行为。

做完了天月版主所说的文件删除工作后，还要将你机【HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command】这个注册表项下的数据，由被篡改后的【"C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.5151la.net"】数据修正为【"C:\Program Files\Internet Explorer\IEXPLORE.EXE"】。否则只要你运行IE，必然首先登陆到http:\\www.5151la.net这个网址。这是病毒文件带来的后遗症，需要追加清理（也可以用一些软件自动清理，但必须是在病毒文件删除之后）。

辛达星郁 - 2010-4-3 18:51:00

引用:

原帖由 夲號ヱ被ジ盜 于 2010-4-3 14:06:00 发表
c:\windows\home.cmd
这个再发上来
谢谢！

c:\windows\home.cmd这个文件是从哪里找到的，我在日志里没有搜索到？？:kaka3:

我当时下载的是可执行文件的，我无语了:kaka3:

辛达星郁 - 2010-4-3 18:53:00

我知道了，原来是那个VBS脚本里的。。。

yingshenlan - 2010-4-4 19:41:00

已经补发了警报截图

yingshenlan - 2010-4-4 19:50:00

好像上传错了哦
在我电脑里没找到那个home.cmd哦

辛达星郁 - 2010-4-4 22:32:00

用下面附件里的：文件提取处理器

附件: 文件提取处理器.rar (2010-4-4 22:31:30, 138.58 K)
该附件被下载次数 156

直接输入路径即可提取，看看能否提取。

yingshenlan - 2010-4-5 13:45:00

提取不出来哈

天月来了 - 2010-4-5 13:51:00

不知道为什么瑞星要报它

你那应该是这个程序

yingshenlan - 2010-4-5 14:03:00

应该是这个吧
可是在电脑里找不到这个文件哈

天月来了 - 2010-4-5 14:10:00

程序更新升级的时候释放到临时文件夹的，运行完毕就自我删除了，哪来的文件哟:kaka6:

yingshenlan - 2010-4-5 14:36:00

电脑开机后出现的哈
没有更新程序哈
也是说在未联网的情况下也可以出现的哈

天月来了 - 2010-4-5 14:40:00

那你打开C:\WINDOWS\system32\Macromed\Flash文件夹，看看里面情况怎样

yingshenlan - 2010-4-5 14:48:00

呜呜
我的电脑注册表里的那个数据是对的
不用修改哦
应该不是那里的问题哈
ie打开慢死了哦

瑞星卡卡安全论坛