瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 被感染的EXE文件双击全部释放一个新的“*~.exe”是什么病毒啊

12   1  /  2  页   跳转

被感染的EXE文件双击全部释放一个新的“*~.exe”是什么病毒啊

收藏
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 22:49 | 显示全部 短消息 资料
字号: 1楼

被感染的EXE文件双击全部释放一个新的“*~.exe”是什么病毒啊

和以下网址一样的现象

http://zhidao.baidu.com/question/12368923.html

是什么病毒啊
最后编辑2006-10-05 13:14:59
分享到:
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 22:57 | 显示全部 短消息 资料
字号: 2楼

我可以把EXE文件打包放上来你们分析.

重安装系统之后,没有再发现感染.

但已有硬盘上的EXE文件全被感染.双击就释放出一个比原文件名多一个~的EXE文件,经查就是原来正常大小的EXE文件,这个带~的才可以运行.被感染的文件不能运行,只是起一个释放新文件的作用..

以下为被感染的文件.TCPVIEW.查看连接的.

http://bbs.wnv.com.cn/attachment.php?aid=27218
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 23:06 | 显示全部 短消息 资料
字号: 3楼

版主,已经发送到你的邮箱了...
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 23:12 | 显示全部 短消息 资料
字号: 4楼

昨天被感染.查出了IE被51上网导航所控制.更新了最新的恶意软件清理助手,查出了通用搜索ROOGOO病毒.
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 23:23 | 显示全部 短消息 资料
字号: 5楼

哦.我去看看...你得删了tcpview.exe.再把这个~的改名为正常的.再运行看看.

释放出来的Tcpview~.exe为92.0 KB (94,208 字节)
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 23:27 | 显示全部 短消息 资料
字号: 6楼

嗯,最新发现....

一运行被感染的EXE文件。IE就加载一个51导航的加载项。还好我一直是禁用它的。

然后我用恶意软件清理RogueCleaner删除。再运行感染的EXE文件。又会出来51导航的加载项

版主在运行的时候要注意了。
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-10 23:32 | 显示全部 短消息 资料
字号: 7楼

版主.重新搞了个感染的文件发送到你邮箱了.请查收.

注意你别中了毒.查一下IE的加载项.会有一个51导航的.
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-11 05:27 | 显示全部 短消息 资料
字号: 8楼

好的...
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-11 10:02 | 显示全部 短消息 资料
字号: 9楼

主体文件已经找不着了,因为之后就重安装系统了.中毒之时,没查出病毒体,但进程不断有启动下载更新的东西.该病毒跟51导航和破坏TCP/IP的adplus/msplus病毒和通用搜索ROOGOO病毒有关.当时就用RogueCleaner查杀过.
gototop
 
笑笑哥哥
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-09-10
  • 来自:
发表于: 2006-09-11 10:02 | 显示全部 短消息 资料
字号: 10楼

我已经把这样本发工程师了.
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT