瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 多个杀毒软件都不能查杀,大家看看是什么病毒

1   1  /  1  页   跳转

多个杀毒软件都不能查杀,大家看看是什么病毒

收藏
尘封岁月
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2005-08-12
  • 来自:
发表于: 2005-08-13 12:43 | 只看楼主 短消息 资料
字号: 1楼

多个杀毒软件都不能查杀,大家看看是什么病毒

启动电脑后,桌面变成压缩包中的网页文件,发现很多可疑进程,主要有:多个iexplore.exe、services.exe(该文件启动目录是windows\system32\inet20081)、ss3dfo.scr、wdfmgr.exe、intell32.exe、timelgnt.exe,结束以上进程后,删除注册表中的相关项目,再用3721浏览器修改,发现DNS被修改成:69.50.176.198和85.255.112.12,用3721木马扫描发现iufmvok.exe、kaosbaaa.exe,清除后,重启电脑,桌面还是那个网页文件,查看进程,一个有21个,没有可疑进程,用瑞星和毒霸都没有发现病毒,搜索注册表中的桌面背景设置,发现是压缩包中的wppp.html文件,找到该文件后删除,又自动产生,而且在注册表中删除相关键值,也马上又产生,资源管理器窗口和浏览器窗口的“查看——工具栏”菜单中的所有项目都是灰色,不能修改,“锁定工具栏”这个菜单项没有了,桌面属性只剩下“屏幕保护”和“设置”两项,其它全部没有了,现从电脑中提取了部分可疑文件,可能不是很全,请大家协助分析一下,看看是什么病毒!如此顽强!

样本已经删除
最后编辑2005-08-13 18:24:46
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-13 13:14 | 短消息 资料
字号: 2楼

【回复“尘封岁月”的帖子】
谢谢!样本已经下载。有结果,会及时通报。
gototop
 
baoheMM
头像
快乐黄口狮
  • 帖子:293
  • 注册: 2005-08-03
  • 来自:
发表于: 2005-08-13 13:28 | 短消息 资料
字号: 3楼

【回复“尘封岁月”的帖子】
你有救了``baohe到此 此毒必杀
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-13 14:12 | 短消息 资料
字号: 4楼

引用:
【尘封岁月的贴子】启动电脑后,桌面变成压缩包中的网页文件,发现很多可疑进程,主要有:多个iexplore.exe、services.exe(该文件启动目录是windows\system32\inet20081)、ss3dfo.scr、wdfmgr.exe、intell32.exe、timelgnt.exe,结束以上进程后,删除注册表中的相关项目,再用3721浏览器修改,发现DNS被修改成:69.50.176.198和85.255.112.12,用3721木马扫描发现iufmvok.exe、kaosbaaa.exe,清除后,重启电脑,桌面还是那个网页文件,查看进程,一个有21个,没有可疑进程,用瑞星和毒霸都没有发现病毒,搜索注册表中的桌面背景设置,发现是压缩包中的wppp.html文件,找到该文件后删除,又自动产生,而且在注册表中删除相关键值,也马上又产生,资源管理器窗口和浏览器窗口的“查看——工具栏”菜单中的所有项目都是灰色,不能修改,“锁定工具栏”这个菜单项没有了,桌面属性只剩下“屏幕保护”和“设置”两项,其它全部没有了,现从电脑中提取了部分可疑文件,可能不是很全,请大家协助分析一下,看看是什么病毒!如此顽强!

样本已经删除
...........................


已经回复:http://forum.ikaka.com/topic.asp?board=28&artid=6990623
gototop
 
尘封岁月
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2005-08-12
  • 来自:
发表于: 2005-08-13 17:06 | 只看楼主 短消息 资料
字号: 5楼

感谢baohe回复,这个我上传之前已经处理好了,但现在的问题是,系统运行时并没有可疑进程,桌面却被改成了windows\system32\wppp.html页面,删除此文件马上又产生,从注册表中找到相关键值删除,也马上产生,而且资源管理器窗口和浏览器窗口的“查看——工具栏”菜单中的所有项目都是灰色,不能修改,“锁定工具栏”这个菜单项没有了,桌面属性只剩下“屏幕保护”和“设置”两项,其它全部没有了。所以我认为还没有完全根除,现在用瑞星、毒霸、3721的木马专杀工具都没有发现病毒。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-13 18:24 | 短消息 资料
字号: 6楼

引用:
【尘封岁月的贴子】感谢baohe回复,这个我上传之前已经处理好了,但现在的问题是,系统运行时并没有可疑进程,桌面却被改成了windows\system32\wppp.html页面,删除此文件马上又产生,从注册表中找到相关键值删除,也马上产生,而且资源管理器窗口和浏览器窗口的“查看——工具栏”菜单中的所有项目都是灰色,不能修改,“锁定工具栏”这个菜单项没有了,桌面属性只剩下“屏幕保护”和“设置”两项,其它全部没有了。所以我认为还没有完全根除,现在用瑞星、毒霸、3721的木马专杀工具都没有发现病毒。
...........................

这与前面那个样本没有直接关系。请用HijackThis1.99.1扫日志贴上来。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT