打印

[电脑] 中了个很牛B的木马，高手们帮我看看倒底是什么东西

USE2

天外飞仙

帖子: 10793
精华: 0
积分: 30305
激骚: 119 度
爱车
主机
相机
手机
来自: 上海
注册时间: 2003-3-12

发短消息
加为好友
当前离线

1^# 大中小发表于 2009-6-8 10:06 只看该作者

症状:
1.在系统盘多处及Program Files目录下生成.exe文件，并将自己注册成开机启动项。文件名为一串数字+字母的随机字符（如：7E08FB20.EXE），其公司、版权等信息均为乱码
2.在系统盘"启动"文件夹内生成.scr文件，文件名同上
3.病毒发作时屏幕一闪一闪，"任务管理器"等部分窗口打开后瞬间被关闭，并不时地弹出广告类网页、windows确认框、下载框等东西
4.断网状态下开机没有异常，但只要一连上网络进程中立即出现多个上述的.exe进程
5.Ghost恢复系统盘无效

PS：我用的是Mcafee 8.5i + AVG8………………

[ 本帖最后由 USE2 于 2009-6-8 10:09 编辑 ]

搜索更多相关主题的帖子: 木马高手倒底

TOP

eos

混世魔头

帖子: 3275
精华: 0
积分: 35208
激骚: 364 度
爱车
主机
相机
手机
注册时间: 2006-7-14

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

2^# 大中小发表于 2009-6-8 10:54 只看该作者

ghost恢复后不要点击除C盘外任何磁盘，直接打开杀毒软件查杀其它盘

TOP

cc0128

元始天尊

帖子: 43286
精华: 0
积分: 52465
激骚: 1707 度
爱车: 11路
主机: 3ds, xbox one
相机: ep5
手机: nexus 5
来自: 北方三线城市
注册时间: 2005-12-17

PS区大收藏家奖☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

3^# 大中小发表于 2009-6-8 11:25 只看该作者

ghost之后按开始+E.打开资源管理器。
点击左边树状菜单的盘符，进去把奇怪的autorun.inf和.exe给删了就搞定。。

TOP

zhrflyhigh

魔王撒旦

小黑屋民工

帖子: 7133
精华: 0
积分: 40613
激骚: 1436 度
爱车: 11路
主机: XO,WII
相机: GF1
手机
来自: 软组织非人类研究中心
注册时间: 2007-3-26

TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

4^# 大中小发表于 2009-6-8 12:25 只看该作者

应该把硬盘格式化一下
别双击进入某一个磁盘分区,应该有可能木马把每一个盘的自动打开设置为运行木马了..
要右击然后点打开..

TOP

游戏时间

魔神至尊

女神组

帖子: 16866
精华: 0
积分: 57959
激骚: 744 度
爱车: 乞丐雷凌
主机: 大PC
相机: 古董105
手机: IP5、牛三
来自: 基层
注册时间: 2006-6-11

PS区 2014新年白金奖☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆

发短消息
加为好友
当前离线

5^# 大中小发表于 2009-6-8 13:46 只看该作者

windows清理助手试试？

TOP

瞎狗

15cm

魔王撒旦

高衰负

帖子: 9669
精华: 0
积分: 21206
激骚: 400 度
爱车: 雷凌
主机: ps3+psp1006
相机: wx1
手机: 7plus
来自: 中国新疆省
注册时间: 2005-5-9

TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆

发短消息
加为好友
当前离线

6^# 大中小发表于 2009-6-8 15:07 只看该作者

GHOST后直接下杀毒装C盘，然后全盘杀，基本就没问题了应该~~~~

TOP

小猪快跑

牙牙大人

魔王撒旦

超级大帅猪

帖子: 9273
精华: 0
积分: 34814
激骚: 1411 度
爱车: S350
主机: LENOVO
相机: SONY
手机
注册时间: 2003-3-15

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

7^# 大中小发表于 2009-6-8 15:39 只看该作者

不会是中了影子病毒了吧

TOP

ggyy

混世魔头

帖子: 2805
精华: 0
积分: 18642
激骚: 77 度
爱车
主机
相机
手机
注册时间: 2002-6-1

TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

8^# 大中小发表于 2009-6-8 16:24 只看该作者

autorun手动分析每个启动项，应该能找到

TOP

ztxzhang518

猴市猛于虎让你再炒股

银河飞将

用毓婷放心爱你mb!

帖子: 38038
精华: 1
积分: 36796
激骚: 1219 度
爱车: ╮(╯__╰)╭木有爱 ╮(╯_╰)╭
主机: ╮(╯﹏╰)╭木兴趣╮(╯﹏╰)╭
相机: ╮(╯▽╰)╭木想法╮(╯▽╰)╭
手机
来自: 天堂之上地狱之下
注册时间: 2003-4-21

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

9^# 大中小发表于 2009-6-8 16:27 只看该作者

说实话,这个病毒还真不算NB的~

TOP

dizhang

版主

Live Free or Die

帖子: 42794
精华: 0
积分: 99324
激骚: 17558 度
爱车: 捷安特
主机
相机
手机
来自: QUASAR
注册时间: 2001-8-18

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

10^# 大中小发表于 2009-6-8 18:18 只看该作者

c盘ghost后不要打开任何其他盘，直接上网下360卫士+nod32，杀杀看。或者装winrar，用winrar自带的资源管理器也能看到隐藏在其他分区根目录下的autorun这类的东西。

TOP

separation

小黑屋

帖子: 312
精华: 0
积分: 18396
激骚: 22 度
爱车
主机
相机
手机
注册时间: 2006-6-3

发短消息
加为好友
当前离线

11^# 大中小发表于 2009-6-8 21:58 只看该作者

以前有遇见个类似的病毒不知道是不是楼主说的这种它会感染所有执行过的.EXE文件
如果是我碰到的那种病毒只能重装系统然后立刻去网上下载杀毒软件查杀在这之前硬盘里的可执行程序一个也别运行如果运行了感染的安装程序那你就彻底SB了

TOP

ppst

Big brother is watching you

小黑屋

Down with BB

帖子: 17918
精华: 0
积分: 29397
激骚: 641 度
爱车: 韩流
主机: 日系
相机: 德味
手机: 米妖
来自: http://www.npc.cn/
注册时间: 2007-9-29

TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

12^# 大中小发表于 2009-6-9 14:05 只看该作者

碰到过，咖啡访问保护的几个规则打开就可以限制它了，杀的话还是格式化方便。。。

TOP

USE2

天外飞仙

帖子: 10793
精华: 0
积分: 30305
激骚: 119 度
爱车
主机
相机
手机
来自: 上海
注册时间: 2003-3-12

发短消息
加为好友
当前离线

13^# 大中小发表于 2009-6-9 17:36 只看该作者

病毒是控制住了，但360还是经常提示“是否允许XXXXXX.EXE添加为启动项”，估计后门还是没清干净。卡巴咖啡 360等木马专杀用遍了也查不出任何东西，郁闷……本来看症状疑似AV终结者，但现在看来这东西比AV终结者难搞多了

to ls：MCAFEE的自定义规则不起作用，我也不知道为什么。比如自己定义个限制XX路径想不允许生成EXE文件，但结果还是照生成不误，现在干脆卸了咖啡换卡巴了。。。

[ 本帖最后由 USE2 于 2009-6-9 17:38 编辑 ]

TOP