发表于: 2007-09-08 23:45 | 显示全部 短消息 资料
字号: 1楼

Backdoor.Win32.Bifrose.ago病毒,急救

杀软的是Backdoor.Win32.Bifrose.ago,主要生成位置是 C:NeroCheck.exe/Expressor,对应注册表键是HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{9B71D88C-C598-4935-C5D1-43AA4DB90836}底下的名称stubpath,类型REG_EXPAND_SZ,数据C:NeroCheck.exe s,但也常常染到System Volume Information底下,以下是我1个半月被感染的纪录:

已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: c:windowssystem32nerocheck.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:NeroCheck.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP198A0053939.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP203A0076966.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:WINDOWSsystem32smartdrv.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP200A0064946.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP203A0076984.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP211A0083196.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082405.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082412.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082419.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082425.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: D:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP206A0082452.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP213A0089138.exe/Expressor
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: G:autorun.exe
已删除: 木马程序 Backdoor.Win32.Bifrose.ago      文件: C:System Volume Information_restore{574F9DA7-1BA1-4E8A-900E-81B4D6FF60D1}RP213A0090241.exe/Expressor

杀软能把病毒和对应的键删掉,但重启键又会生成,再次重启nerocheck.exe就生成了,每次重启C:NeroCheck.exe 都会自动运行,这个位置我自己做了一个免疫,但它要是染到System Volume Information就没招了,每次的病毒名都不一样。


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
附件为SrengPS扫描的日志

附件附件:

下载次数:154
文件类型:application/octet-stream
文件大小:
上传时间:2007-9-8 23:45:06
描述:

最后编辑2007-09-09 10:01:28.810000000