奇怪的病毒！！0_.ii ,setup.exe，杀不死！死后复活 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛奇怪的病毒！！0_.ii ,setup.exe，杀不死！死后复活

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

奇怪的病毒！！0_.ii ,setup.exe，杀不死！死后复活

风中的彩虹初生襁褓狮帖子:17 注册: 2006-06-11 来自:	发表于： 2007-06-15 09:41 \| 只看楼主短消息资料字号：小中大 1楼奇怪的病毒！！0_.ii ,setup.exe，杀不死！死后复活现象 1 开机进入桌面后，很长时间没反应。然后跳出一个对话框，提示0_.ii遇到错误，需要关闭，我点击关闭，进入桌面。 2 运行任何可执行程序，都会在该执行程序的同目录下产生一个0_.ii，并提示0_.ii遇到错误，需要关闭。 3 双节打开任何一个盘符，提示setup.exe遇到错误，需要关闭，点击关闭按钮，进入该盘符，经查证，在该盘符的根目录下产生一个setup.exe，并且具有系统属性，隐藏属性。如果删除该文件，双击不能打开盘符。我的处理：我全盘搜索所有0_.ii，并删除；删除注册表里0_.ii键值（只有1个），打开任何一个可知性程序，问题依旧。附HijackThis日志 Logfile of HijackThis v1.99.1 Scan saved at 9:27:12, on 2007-6-15 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Acer\Empowering Technology\admServ.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe d:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system\winlogon.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\regedit.exe E:\tools\MyIE\MyIE.exe D:\Program Files\HijackThis\HijackThis.exe O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - d:\Program Files\Thunder Network\WebThunder\WebThunderBHO_Now.dll O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 使用Web迅雷下载 - d:\Program Files\Thunder Network\WebThunder\GetUrl.htm O8 - Extra context menu item: 使用Web迅雷下载全部链接 - d:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163847069828 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - d:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe 2007-06-15 15:00:56
风中的彩虹初生襁褓狮帖子:17 注册: 2006-06-11 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-15 10:01 \| 短消息资料字号：小中大 2楼【回复“风中的彩虹”的帖子】昨天，在“剑盟”看了一个求助帖，说的就是这种情况。根据求助者提供的全套样本看，是有人恶搞了“农夫”的“viking蠕虫解决方案套装”所致。其中的“病毒库生成器.exe”是个蠕虫（感染.exe文件）。汗！！附件: 文件名:155847200761595215.jpg 下载次数:271 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-15 10:01:12 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-06-15 10:04 \| 短消息资料字号：小中大 3楼瑞星可以杀掉那个“病毒生成器.exe”。至于被感染文件的处理情况——————没有观察。附件: 文件名:155847200761595412.jpg 下载次数:240 文件类型:image/pjpeg 文件大小: 上传时间:2007-6-15 10:04:26 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

风中的彩虹初生襁褓狮帖子:17 注册: 2006-06-11 来自:	发表于： 2007-06-15 10:25 \| 只看楼主短消息资料字号：小中大 4楼谢谢楼上2位，热心回帖。双击打开硬盘的问题问题搞定了，我在硬盘和注册表里删除了setup.exe以及相关的autoruan.ini。然后重启电脑就搞定了。 0_.ii问题依旧。我用进程管理器查看0_.ii，该进程调用了n多dll，除了1个RemoteDbg.dll之外，别的全是Microsoft的dll（看日期应该也没有问题）。我到安全模式下删除了该dll，但是问题依旧。现在推测应该是0_.ii还有至少一个复活单元。“病毒生成器.exe”我搜索过，没有该文件。我没有安装瑞星，有没有手动解决方案，希望各位指教！不胜感激，在线等
风中的彩虹初生襁褓狮帖子:17 注册: 2006-06-11 来自:

loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:	发表于： 2007-06-15 10:34 \| 短消息资料字号：小中大 5楼用SRE扫扫吧~开机启动项目里应该能找到蛛丝马迹.
loveperday 初生襁褓狮帖子:824 注册: 2007-05-11 来自:

风中的彩虹初生襁褓狮帖子:17 注册: 2006-06-11 来自:	发表于： 2007-06-15 15:11 \| 只看楼主短消息资料字号：小中大 6楼搞定了，谢谢baohe，是蠕虫。我到安全模式下用诺顿全盘杀毒，费了几个小时终于搞定了。这个病毒的复制能力真tnnd的强啊，几个小时就复制了好几十个！
风中的彩虹初生襁褓狮帖子:17 注册: 2006-06-11 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT