瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中毒了!
niuniu022 - 2010-10-6 10:49:00
每个盘符根目录下都有隐藏的autorun.inf文件,还有名字不固定的.exe文件

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon 2.0)
天月来了 - 2010-10-6 14:09:00
全部压缩发来
niuniu022 - 2010-10-6 14:51:00
这是我截的几个图
天月来了 - 2010-10-6 15:00:00
图没看到

我要那个隐藏的autorun.inf文件,还有名字不固定的.exe文件
niuniu022 - 2010-10-6 15:12:00
[AutoRun]
;cqepKR AfbsWkdEixpqArw
;BtOl  DrSjOdMybkUwtIaoDaiEESsXvgU
shEll\EXplore\CoMMand =wgdi.exe
;ggGnhyeIapk ouoffMweSosiUW lgHigEpJqUuQsoNn alrl vsKEw
OpEn =wgdi.exe
SHeLl\opeN\DefauLt=1
;QwAm
Shell\OPEn\cOmmAnd= wgdi.exe
;
SheLL\AutOplay\commaNd=wgdi.exe
;
这是autorun里面的内容 .exe文件我不知道怎么能弄出来
天月来了 - 2010-10-6 15:15:00
复制,压缩嘛



要不就这样吧

用SRENG工具扫描系统日志发这论坛来,建议日志文件以附件形式接本贴发来:

下载:http://www.kztechs.com/sreng/download.html

取消“智能扫描”项内的“Windows安全更新检查”前的勾再扫描,否则可能扫描半天没结果。

日志文件以附件形式发来点击我这贴右下角的“引用”,然后就应该知道怎么发了。

扫描操作图:
niuniu022 - 2010-10-6 15:30:00
好的,稍等啊,谢谢帮忙
niuniu022 - 2010-10-6 15:35:00

附件: SREngLOG.log (2010-10-6 15:34:59, 52.03 K)
该附件被下载次数 190

这个是扫描日志,不过这个跟我说的那个有点儿区别,这个是在共享文件夹里面有很多的快捷方式
天月来了 - 2010-10-6 15:44:00
日志没见autorun.inf文件内容

你将wgdi.exe文件压缩发来,它应该和autorun.inf文件在同一位置
天月来了 - 2010-10-6 15:46:00
至于你说:“共享文件夹里面有很多的快捷方式 ”那可能是别的共享了你的文件夹的某台电脑内病毒向你的共享文件夹写入那些快捷方式吧。
天月来了 - 2010-10-6 15:49:00
==================================
启动文件夹
[Microsoft Firewall Client 管理]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Firewall Client 管理.lnk --> C:\WINDOWS\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C281A4A264.exe [InstallShield Software Corp.]><N>

这个是你的服务器要用的软件吧?
niuniu022 - 2010-10-6 15:55:00
这个是在我们局域网上没个电脑都装的上网代理软件isa2004,这个有问题吗?我们这里都通过这个上外网的,不好意思我得老出去,不能及时看到你留言
天月来了 - 2010-10-6 16:07:00
我只是问一句
niuniu022 - 2010-10-8 15:38:00

附件: 东盟区内部共享.rar (2010-10-8 15:37:31, 163.73 K)
该附件被下载次数 153

附件: SREngLOG.log (2010-10-8 15:37:31, 50.56 K)
该附件被下载次数 156

我找到样本了,还有扫描日志,麻烦再看下,有没有解决办法,谢谢了。着急!
niuniu022 - 2010-10-8 15:45:00

附件: SREngLOG.log (2010-10-8 15:45:16, 50.56 K)
该附件被下载次数 158

病毒样本和扫描日志

附件: 东盟区内部共享.rar (2010-10-8 15:45:16, 163.73 K)
该附件被下载次数 183

niuniu022 - 2010-10-8 15:46:00
麻烦你再给看下啊,谢谢
networkedition - 2010-10-8 15:51:00
lz上传的样本瑞星最新版均可以查杀:



看一下计划任务里的内容是什么?
[已启用] At5.job
        rundll32.exe
[已启用] At4.job
        rundll32.exe
[已启用] At3.job
        rundll32.exe
[已启用] At2.job
        rundll32.exe
[已启用] At1.job
        rundll32.exe
baohe - 2010-10-8 17:06:00
kuku 病毒。
感染非系统分区的.exe文件。
升级病毒库全盘杀毒吧。

被感染的文件经RIS2011处理后就残废了:kaka6:
niuniu022 - 2010-10-8 17:43:00
谢谢楼上两位,因为我们局域网内电脑较多,同一时间集体杀毒不太可能实现,要怎样防止杀过毒的电脑再次中毒?
天月来了 - 2010-10-8 20:29:00
估计很困难,一直开启瑞星的监控维持吧
1
查看完整版本: 中毒了!