瑞星卡卡安全论坛
frankzhyl - 2012-6-30 21:00:00
我最开始装的瑞星和防火墙(分开的),杀不掉这个病毒,后来装了全功能能够安全软件还是不行,另外,我一开机就有个框子跳出来,就是那种点开回收站之后再右键点里面的文件,选择属性,显示的提示框,在提示框里显示zaberg。exe这个文件,可选的有 确定 取消 还原
不知道哪位大侠能施以援手啊!
用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
天月来了 - 2012-7-1 9:32:00
zaberg。exe文件压缩发来看看
frankzhyl - 2012-7-1 18:33:00
这个文件我在网上查了一下,从C盘删掉了,但它生成的文件还是有呢,昨天都删干净了,今天又生成了一个,我发到可疑文件上报上了,告诉我是病毒,是病毒的话,我用瑞星全盘查杀怎么不杀这个呢?再问一下,怎么把压缩文件发给您啊,没找到发附件的地方呢
天月来了 - 2012-7-1 19:45:00
点击我那贴右下角的引用即可看到附件上传了
frankzhyl - 2012-7-1 20:47:00
原帖由 天月来了 于 2012-7-1 19:45:00 发表
点击我那贴右下角的引用即可看到附件上传了
请看附件
附件:
DF17.rar
天月来了 - 2012-7-1 20:54:00
这文件在神马目录?
frankzhyl - 2012-7-1 21:08:00
zaberg是在(“乔瑞”变种banv运行后,会自我复制到被感染系统盘“RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\”档夹下,重新命名为“zaberg.exe”)引用自江民科技,我确实在那找到并删除了,刚给你发的附件位置是C:/用户/admin/appData/roaming
天月来了 - 2012-7-1 21:32:00
那zaberg.exe不再出现就不管它了
附件那个等工程师们看吧
frankzhyl - 2012-7-1 21:41:00
好吧,那谢谢了,不过给你发的那附件只是其中一个,这种文件它会自己生成而且改名字的,哎,而且瑞星不能直接杀,要手动删除。
networkedition - 2012-7-2 9:26:00
样本已收集。
networkedition - 2012-7-2 13:36:00
DF17.tmp 瑞星杀毒软件最新版已可以查杀。
frankzhyl - 2012-7-4 16:51:00
是可以查杀了,但为什么我的电脑还不停地生成类似程序呢?有没有除根的办法?
networkedition - 2012-7-4 16:53:00
frankzhyl - 2012-7-4 16:58:00
原帖由 networkedition 于 2012-7-2 13:36:00 发表
DF17.tmp 瑞星杀毒软件最新版已可以查杀。
另外,麻烦您给看看,这个附件是不是病毒?也是新生成的,而且和那类文件在同一目录下
附件:
Xnlelb.rar
networkedition - 2012-7-4 17:03:00
样本已收集。
frankzhyl - 2012-7-4 17:09:00
不知道您要的是不是这个附件
附件:
SREngLOG.log
networkedition - 2012-7-4 17:17:00
异常项,两个启动项。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Xnlelb><C:\Users\frank\AppData\Roaming\Xnlelb.exe> []
<zaber0><C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe> [File is missing]
networkedition - 2012-7-4 17:21:00
和那类文件在同一目录下,看一下有没有这个文件:Hvooov.exe
frankzhyl - 2012-7-4 17:26:00
没有,就有一个我发给您的xnlelb
frankzhyl - 2012-7-4 17:27:00
那你说的这两个异常启动项,我该怎么处理?
networkedition - 2012-7-4 17:30:00
手动删除:C:\Users\frank\AppData\Roaming\Xnlelb.exe,先在任务管理里结束Xnlelb.exe进程,再删除,之后再使用sreng工具删除哪两个启动项。或者进注册表手动删除也行。再重启电脑试试能否解决。
frankzhyl - 2012-7-4 17:44:00
无意冒犯,以下是引自江民的,也许能有帮助:
(Trojan/Jorik.banv“喬瑞”變種banv是“喬瑞”家族中的最新成員之一,採用高階語言編寫,經過加殼保護處理。“喬瑞”變種banv運行後,會自我複製到被感染系統盤“RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\”檔夾下,重新命名為“zaberg.exe”,並在該檔夾下釋放惡意配置檔“Desktop.ini”。以上檔的屬性會被設置為“系統、隱藏、唯讀”。“喬瑞”變種banv屬於反向連接木馬程式,其會在後臺連接駭客指定的站點“zabe**mar.com”,獲取用戶端IP位址,偵聽駭客指令,從而達到被駭客遠端控制的目的。該木馬具有遠端監視、控制等功能,可以監視用戶的一舉一動(如:鍵盤輸入、螢幕顯示、光碟機操作、檔讀寫、滑鼠操作和攝像頭操作等)。還可以竊取、修改或刪除電腦中存儲的機密資訊,從而對用戶的個人隱私甚至是商業機密構成嚴重的威脅。感染“喬瑞”變種banv的系統還會成為網路僵屍傀儡主機,利用這些傀儡主機駭客可對指定站點發起DDoS攻擊、洪水攻擊等,給互聯網的資訊安全造成了更多的威脅。“喬瑞”變種banv訪問網路時,會將惡意代xxx注入到“explorer.exe”進程中隱秘運行。 據悉,如果被感染的電腦已安裝並啟用了防火牆,則該木馬會利用白名單機制來繞過防火牆的監控,從而達到隱蔽通信的目的。另外,“喬瑞”變種banv會在被感染系統註冊表啟動項中添加鍵值,以此實現自動運行。 )
frankzhyl - 2012-7-4 17:45:00
另外,我按您说的删掉那两个启动项了,效果怎么样还不知道,要用一段时间
networkedition - 2012-7-5 9:11:00
Xnlelb.exe样本,瑞星杀毒软件最新版已可以查杀。
1
© 2000 - 2024 Rising Corp. Ltd.