[愤怒]吹响抗争的号角,向病毒宣战 - -
今天RP过头了...无人操作的电脑居然自己"向病毒伸手"了,EXE文件居然要求打开方式?!!!怒.....金山毒霸使用中.....
2006-8-9 11:56:34,毒霸主程序,Win32.Troj.PSWLmir.45056,删除,C:\WINDOWS\KB49400M.LOG,发现病毒在: C:\WINDOWS\KB49400M.LOG
病毒名:Win32.Troj.PSWLmir.45056
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 11:35:00,毒霸主程序,Win32.Troj.PSWLmir.45056,其他病毒,C:\WINDOWS\KB49400M.LOG,发现病毒在: C:\WINDOWS\KB49400M.LOG
病毒名:Win32.Troj.PSWLmir.45056
病毒类型: 其他病毒
处理结果: 其他病毒; 需要重启;
2006-8-9 10:40:27,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\WINDOWS\system32\regedit.com,发现病毒在: C:\WINDOWS\system32\regedit.com
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:40:03,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\WINDOWS\system32\MSCONFIG.COM,发现病毒在: C:\WINDOWS\system32\MSCONFIG.COM
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:39:40,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\WINDOWS\system32\dxdiag.com,发现病毒在: C:\WINDOWS\system32\dxdiag.com
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:37:25,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\WINDOWS\LSASS.exe,发现病毒在: C:\WINDOWS\LSASS.exe
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:36:27,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\WINDOWS\Debug\DebugProgram.exe,发现病毒在: C:\WINDOWS\Debug\DebugProgram.exe
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:36:19,毒霸主程序,Win32.Troj.PSWLmir.83456,删除,C:\WINDOWS\49400.DLL,发现病毒在: C:\WINDOWS\49400.DLL
病毒名:Win32.Troj.PSWLmir.83456
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:34:45,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\Program Files\Internet Explorer\INTEXPLORE.com,发现病毒在: C:\Program Files\Internet Explorer\INTEXPLORE.com
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:34:27,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\Program Files\Common Files\INTEXPLORE.pif,发现病毒在: C:\Program Files\Common Files\INTEXPLORE.pif
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:33:55,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,C:\N5.EXE,发现病毒在: C:\N5.EXE
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:28:22,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,[注册表]->启动项:C:\WINDOWS\LSASS.exe,发现病毒在: [注册表]->启动项:C:\WINDOWS\LSASS.exe
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:19:25,毒霸主程序,Win32.Troj.PSWWOW.bu.46991,删除,[内存]->C:\WINDOWS\LSASS.exe,发现病毒在: [内存]->C:\WINDOWS\LSASS.exe
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:16:55,病毒防火墙,Win32.Troj.PSWWOW.bu.46991,删除,D:\COMMAND.COM,发现病毒在: D:\COMMAND.COM
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:15:53,病毒防火墙,Win32.Troj.PSWWOW.bu.46991,删除,C:\WINDOWS\EXERT.exe,发现病毒在: C:\WINDOWS\EXERT.exe
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 删除
2006-8-9 10:15:02,病毒防火墙,Win32.Troj.PSWWOW.bu.46991,其他病毒,C:\WINDOWS\LSASS.exe,发现病毒在: C:\WINDOWS\LSASS.exe
病毒名:Win32.Troj.PSWWOW.bu.46991
病毒类型: 其他病毒
处理结果: 其他病毒; 需要重启;
2006-8-9 9:36:01,病毒防火墙,Win32.Troj.Lmir.cj.48118,删除,C:\System Volume Information\_restore{4A868894-65BC-436D-BE76-14D2EF42B7AA}\RP236\A0116708.exe,发现病毒在: C:\System Volume Information\_restore{4A868894-65BC-436D-BE76-14D2EF42B7AA}\RP236\A0116708.exe
病毒名:Win32.Troj.Lmir.cj.48118
病毒类型: 其他病毒
处理结果: 删除
2006-08-09 11:53:11 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:14 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:15 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:16 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:16 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:16 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:21 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:21 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:21 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:22 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:22 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:23 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:23 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:23 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:23 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:23 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:23 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:24 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:24 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:24 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:24 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:25 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:26 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:28 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:29 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:30 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:kb49400m.log 路径:内存:Process:c:\windows\kb49400m.log 结果:重启后清除
2006-08-09 11:53:44 信息:发现木马:Win32.Troj.PSWLmir.45056 文件名:KAV2D068.TMP 路径:C:\Documents and Settings\new\Local Settings\Temp\ 结果:重启后清除
于是得出如下结论:我家电脑具有非凡的吸引力...招来外界某病毒并与之勾搭成奸..谋财害命...
现对奸夫(某毒)实行毁灭性的军事打击....同时诚邀水区众人出谋划策,将斗争进行到底- -|| 备份C盘的东西,FORMAT C: pc区我回了啊.不过也是在baidu上查的....
我看金山论坛技术支持的一个帖子说,有一个叫
Worm.Viking
这几天一直看到不少求援的帖子,从帖子内容看一直都只认为是个QQ尾巴,通过QQ自动发送如下消息:
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG时注意到rundl132.exe这个文件,此外,某个杀软会不断提示logo_1.exe这个东西。
拿到样本后才知道不是这么简单,各大杀软都对这个病毒做了应急处理。参考各杀软厂商的分析结果做如下简介:
病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
"load"="C:\WINNT\rundl132.exe"
感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件里如果发现这个东西的话,恭喜恭喜,估计十有八九已遭遇不幸了感染后会造成一些网友说的“EXE文件图标花了”
通过不安全的共享网络传播,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。
vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序,其中有个是这里介绍的http://kongzhizhen.bokee.com/5105840.html。
小空在这里提醒大家,对这个病毒防范胜于查杀。部分杀软对感染该病毒的EXE文件采取的方法是直接删除,这可不是件好事。因此,小空建议你,及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。 那个帖子里,用户用金山只能解决掉释放出来的其他木马而没有处理到源病毒本体...问题还挂着呢~~ #3..根本和你那个是两码事..我中的这个毒是盗窃密码的东西...要不然怎么叫做谋财害命..
目前进一步清除中- - 愤怒.. 还有其变种worm.beann
也是通过本体下载大量其他木马病毒,和楼主的症状一样,请不要执行exe文件,否则会反复激发病毒 麻烦多着呢....相关资料我查得多了...不能执行EXE,不能打开硬盘分区.不能......
严重冒火 我没说错,应该~~你中的就是和这个倒霉蛋一样的东西
我是一家公司网管
现在公司局域网内的机器都感染了Worm.Beann病毒
通过共享传播的蠕虫病毒。该病毒运行后除了会在系统目录中释放多个木马病毒,还会在除系统盘以外的其他所有磁盘根目录下释放木马病毒和自运行脚本,只要进入该磁盘,病毒就会运行。同时病毒还会修改大量的文件关联,使得用户每次打开这些文件的时候病毒就得到了运行。该蠕虫病毒是通过网络共享传播的,它会将自己拷贝到局域网内所有的共享目录和其所有子目录中,诱骗其他用户运行。
1.将自己拷贝到C:\WINNT\rundl132.exe
2.释放另一蠕虫病毒到C:\Program Files\svhost32.exe(也是worm.Beann)
3.添加注册表启动项:
蠕虫的:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load"="C:\WINNT\rundl132.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load"="C:\PROGRA~1\svhost32.exe"
木马的:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"TProgram"="C:\WINNT\smss.exe"
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"ToP"="C:\WINNT\LSASS.exe"
4.在当前目录下释放vDll.dll
5.释放一传奇木马病毒C:\WINNT\System32\ztdll.dll(Win32.Troj.Lineage.zc)
6..释放Win32.Troj.PSWWoW木马病毒的多个副本:
C:\WINNT\1.com
C:\WINNT\1SY.EXE
C:\WINNT\smss.exe
C:\WINNT\finders.com
C:\WINNT\EXP10RER.com
C:\WINNT\exerouter.exe
C:\WINNT\System32\rund1132.com
C:\WINNT\System32\command.pif
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\inexplore.com
C:\progra~1\common~1\inexplore.pif
7.释放Win32.Troj.PSWLmir.xi木马病毒的多个副本:
C:\WINNT\2SY.EXE
C:\WINNT\LSASS.exe
C:\WINNT\EXERT.exe
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\INTEXPLORE.com
C:\progra~1\common~1\INTEXPLORE.pif
8.在其他盘根目录下释放Win32.Troj.PSWWoW病毒副本:
(在此只写了D盘的)
D:\command.com
并生成一个D:\autorun.inf,其内容如下:
OPEN=D:\command.com
此外还有一个.ini文件,该文件只纪录了当前的日期
D:\_desktop.ini
2006/5/26
9.将蠕虫拷贝到局域网所有的共享目录和其所有子目录中
10.修改大量文件关联:
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com""
HKCR\ftp\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" %1"
HKCR\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\htmlfile\shell\opennew\command
(Default)=""C:\Program Files\common~1\inexplore.pif""
HKCR\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKCR\Drive\shell\find\command
(Default)="%SystemRoot%\EXP10RER.com"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\comman
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com""
HKCR\ftp\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" %1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Cookies="C:\Documents and Settings\jjwen1\Cookies"
HKCR\htmlfile\shell\open\command
(Default)=""C:\Program Files\Internet Explorer\inexplore.com" -nohome"
HKCR\htmlfile\shell\opennew\command
(Default)=""C:\Program Files\common~1\inexplore.pif""
HKCR\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\http\shell\open\command
(Default)=""C:\Program Files\common~1\inexplore.pif" -nohome"
HKCR\WindowFiles\shell\open\command
(Default)="C:\WINNT\EXERT.exe "%1" %*"
HKCR\.exe
(Default)="WindowFiles"
用正版瑞星杀毒只能查出源病毒释放出的变种病毒 而不能查杀源病毒本体 金山能查出病毒但只能删除病毒文件而不能杀除病毒 在服务器上,个人PC上有大量不可替代的文件不能删除格式化
请大家帮忙啊
[ 本帖最后由 砂之私语 于 2006-8-9 13:32 编辑 ] 解决方案何在? - -||||| http://it.rising.com.cn/service/technology/RavVikiing.htm
从瑞星找来的worm.viking专杀,至于能不能杀掉变种的豆子,不知道 完全脱节....worm.viking只是绑定有上述两种病毒.一个是盗传奇号的.一个是盗WOW号的(靠)..你的专杀工具找不到任何病毒..目前正在收拾残留文件... 啊啊~~那你还是重装吧,大不了从新下载所有的exe文件 听说貌似只要上网哪怕什么都不干也有可能中毒,请问是真的吗? 原帖由 羽翼栗子球 于 2006-8-9 14:15 发表
听说貌似只要上网哪怕什么都不干也有可能中毒,请问是真的吗?
是...比如漏洞攻击 原帖由 砂之私语 于 2006-8-9 14:16 发表
是...比如漏洞攻击
这真恐怖~~防不胜防`有没有什么防御措施 可怕的病毒- -111
我的电脑最近每各几分重种就黑屏一次T T
是不是中毒鸟T T 金山网镖还是发挥了一定作用.我严格禁止LSASS访问网络 原帖由 羽翼栗子球 于 2006-8-9 14:32 发表
这真恐怖~~防不胜防`有没有什么防御措施
用lunix或者mac os系统...orz
1.安装杀毒软件、防火墙、恶意程序检测软件
2.保持良好的上网习惯
3.尽量安装瘟到死的更新 原帖由 砂之私语 于 2006-8-9 14:47 发表
用lunix或者mac os系统...orz
1.安装杀毒软件、防火墙、恶意程序检测软件
2.保持良好的上网习惯
3.尽量安装瘟到死的更新
因为开驴子和BT我从来不开防火墙~~
马撒卡`~我的机子会暴露在坏淫的视野之内~ 还保持更新呢...哪天被Microsoft阴掉了还不知道为什么....
回仓鼠...症状不明显...无法诊断...