瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 被感染的EXE文件双击全部释放一个新的“*~.exe”是什么病毒啊

12   2  /  2  页   跳转

被感染的EXE文件双击全部释放一个新的“*~.exe”是什么病毒啊

收藏
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-11 15:53 | 显示全部 短消息 资料
字号: 11楼

不知道怎么样的情况
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-11 21:41 | 显示全部 短消息 资料
字号: 12楼

我顶你个肺!
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-12 20:25 | 显示全部 短消息 资料
字号: 13楼

谢谢楼上的兄弟
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-12 21:59 | 显示全部 短消息 资料
字号: 14楼

病毒上报邮件分析结果-流水单号:3913585

尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:Asm
    不是病毒

    2.文件名:Beupgr~1.wav
    不是病毒

    3.文件名:Game.dat
    不是病毒

    4.文件名:Game.sav
    不是病毒

    5.文件名:Getdown.wav
    不是病毒

    6.文件名:Getup.wav
    不是病毒

    7.文件名:Tractor.cnt
    不是病毒

    8.文件名:Tractor.exe
    病毒名:Trojan.DL.Delf.dee

    9.文件名:README.TXT
    不是病毒

    10.文件名:Tcpview.exe
    病毒名:Trojan.DL.Delf.dee

    11.文件名:tcpview.GID
    不是病毒

    12.文件名:TCPVIEW.HLP
    不是病毒

    13.文件名:ttian.net.htm
    不是病毒

    14.文件名:瑞星听诊信息.htm
    不是病毒

    我们将在较新的18.44.11版本中处理解决,请您届时将您的瑞星软件升级到18.44.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。

注意:如果您上报的文件损坏或者压缩包有密码保护,会导致我们无法正确分析,请您确认文件正常且压缩包中无密码后再提交。
如有问题,您可以通过电话或者邮件服务中心与我们联系,详细描述您的问题,并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提    醒:为保证收到您的来信,请勿直接回复本邮件!!!
-------------------------------------------------------------
服务单位:瑞星·客户服务中心
工 程 师:YFB001
电话服务:(010)82678800
发送邮件:请用IE等浏览器访问网址 http://csc.rising.com.cn
-------------------------------------------------------------
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-12 22:06 | 显示全部 短消息 资料
字号: 15楼

刚试验了....最新版的直接删除程序...并不能杀毒....郁闷啊...
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-12 22:20 | 显示全部 短消息 资料
字号: 16楼

引用:
【影子110的贴子】
它在windows下生成一个文件(cnt.exe  )
然后又调用下面这个dll 文件~(并生成一个51导航的加载项~)

父级进程:
  路径: C:\WINDOWS\cnt.exe
启动
子级进程:
  路径: C:\WINDOWS\system32\regsvr32.exe
  信息: Microsoft(C) Register Server (Microsoft Corporation)
  命令行:Regsvr32.exe /s C:\windows\system32\browsewmzero.dll

C:\WINDOWS\cnt.exe  你找到这个文件,并跟据它的创建日期查找生成的其它文件.

你用SSM禁止cnt.exe运行~禁止browsewmzero.dll被任何程序调用~
删除它们的文件~(但暂时不要删除那些被感染的,以防止系统无法正常运行~~)
如果你有Icesword 可以用它查看下 Explorer.exe的模块中,有没有这个这个 dll插入~(如果有,卸除即可~)
删除这两个文件(如果还找到其它文件,你可以确定的病毒文件,)
然后用Autoruns.exe去掉这个DLL运行项(在这个软件中可以看到,并可以清除,(在这里清除的是它的注册表中的东西~)

以上可能用到的工具的链接如下~~
Icesword
http://www.blogcn.com/user17/pjf/index.html
ssm
http://www.syssafety.com/files.html
Autoruns.exe(下帖9楼)
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
………………




我重新格式化之后.运行感染的EXE文件,并不能按你说的找到这些文件.但只要运行感染的文件,51导航马上会被注册进IE加载项里的.
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-13 21:12 | 显示全部 短消息 资料
字号: 17楼

尊敬的客户,您好!         
您的邮件已经收到,感谢您对瑞星的支持。希望下面提供的信息或方案能带给你帮助:

两个.exe的文件,其中一个是纯病毒文件,而不是感染,处理方式就是删除。

更多产品支持,请登陆客户服务网站:http://csc.rising.com.cn
提醒:为保证收到您的来信,请勿直接回复本邮件!!!
------------------------------------------------------
服务单位:瑞星·客户服务中心
工 程 师:CSC025
电话服务:(010)82678800
发送邮件:请用IE等浏览器访问网址 http://csc.rising.com.cn
------------------------------------------------------

> 您在来信中提到的问题:
=============================================================

病毒上报邮件分析结果-流水单号:3913585

感谢.已经知道是病毒名:Trojan.DL.Delf.dee

升级到最新版本的18.44.12

然后杀这个样本,结果是直接删除啊..

那我机器上的很多EXE文件怎么办.全部删除啊?没有备份的.

我是这样解决的.直接双击感染的EXE文件,释放出一个文件名带~.exe,然后删除感染的EXE文件.再把~.exe改为正常的名字.这样处理了全部的
EXE文件.有部分直接删除了.

请问我这样处理会不会再次中毒?希望有专杀工具,不删除EXE文件.

再次感谢!




鸟...这样的回复有啥用啊...
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT