瑞星卡卡安全论坛

这个病毒，把电脑上面所有的快捷方式改写成如下所示：

"C:\Program Files\WinPcap\StormII.exe" "C:\Program Files\WinPcap\快捷方式 到 千千静听新版.exe.lnk"
"C:\Program Files\WinPcap\StormII.exe" "C:\Program Files\WinPcap\快捷方式 到 ABC3000.exe.lnk"
"C:\Program Files\WinPcap\StormII.exe" "C:\Program Files\WinPcap\快捷方式 到 ArSwp3.exe.lnk"

是不是很无奈呢？？
晕死了……
附日志，附病毒样本！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)

附件: SREngLOG.log

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\system32\fcbe.dll
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\PGY.vbe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\run.jse
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\TSPS.lnk
C:\WINDOWS\system32\eeed.exe
C:\WINDOWS\system32\bhoexe.dll
C:\WINDOWS\system32\fe4o.dll
C:\WINDOWS\Tasks\ms.job

不论删除结果如何立即重启电脑

下面是日志中的异常项目
==================================
启动文件夹
[PGY]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\PGY.vbe -->  [File is missing]><N>
[run]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\run.jse -->  [File is missing]><N>
[TSPS]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\TSPS.lnk -->  [File is missing]><N>

==================================
服务
[OSS / OSS][Stopped/Auto Start]
  <C:\WINDOWS\system32\eeed.exe><N/A>

==================================
浏览器加载项
[BHOApp Class]
  {CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED} <C:\WINDOWS\system32\bhoexe.dll, N/A>
[CFunPlayer Object]
  {ED493CC4-E87B-4D8C-AC59-2A87A14237A0} <C:\WINDOWS\system32\fe4o.dll, Beijing Angels Technology ltd.>

==================================
计划任务
[已启用] ms.job
        rundll32

至于那些被恶搞的快捷方式，就不知道如何修复了

试试金山网盾或金山急救箱看能否修复

天月，请问，我该那日志中的异常项目该怎么办呢？
对不起啊，我看不懂日志，不明白日志是什么意思哦
是用  SREng 把这些异常删除掉吗？还是怎么办呢？

删除文件，再用SRENG删除那个服务项和浏览器加载项即可

好的，我试试看，谢谢你了，非常感谢！！

许许多多的快捷方式，依旧解决不了……，
郁闷了……

许许多多的快捷方式，试试金山网盾或金山急救箱呀

否则只有重建了

有些恶意破坏一旦成功，后期的修复就是不太容易的。

此病毒仅是利用脚本和批处理做事而已，可惜没什么人愿意监控脚本文件和批处理文件的运行。

好的，谢谢你了，十分感谢！

样本拿来！！！:kaka10: