打印

重金请高手杀毒

楼主大中小发表于 2006-4-6 13:15 只看该作者

重金请高手杀毒

本人上高中QQ群时,在共享里下载了"高中同学会.jpg",瑞星显示无毒我才打开的,表面看来是一图片,其实是一个捆绑了图片的程序,只要想双击打开来看,人机两空呀,只会提示图片格式出现致命错误!知道中毒了!

该病毒以 System Volume Information 文件名的形式出现

以显示零字节空文件夹的方式来逃避杀毒软件

有自动复制功能

c:\windows\system32\dxdiag32.exe
c:\windows\system32\notetxt.exe
c:\windows\system32\slcsvr.exe
临时文件夹中(temp)还会生成~dff2b5.exe
ie缓存中也会生成一些东东.
txt文件关联被改成 notetxt.exe %1

中毒症状是:以上几个基本都是木马,在后台会运行进行盗号

任务管理器以及一些杀毒软件,防火墙被杀掉(slcsvr.exe干的坏事)

当然,我只搞掉了前面几个

还有:txt文件关联被改成 notetxt.exe %1
和System Volume Information 文件夹删不掉

当然也可能还有其他我没有发现的.

我不想全部格盘.所以,

请哪位高手帮忙杀一下

如若成功,重金感谢!

本人电话:13016173865

刘同学

凄清的夜风缓缓抚过我流满泪水的脸，吹起我的爱慢慢飘过他(她)的网、、、、、、

cincinliu

骑士

Rank: 6 Rank: 6

帖子: 213
青韶币: 309
魅力: 0
威望: 0
注册时间: 2003-11-29

TOP

沙发大中小发表于 2006-4-6 13:16 只看该作者

re:换杀毒软件，用卡巴斯基，更新最新数据库后...

换杀毒软件，用卡巴斯基，更新最新数据库后进安全模式杀毒

低调作人，高调做事！
大众-奥迪之家www.myvwaudi.cn或者http://vwaudi.zhan.cn.yahoo.com/

龙一

版主

Rank: 16

帖子: 14815
青韶币: 16166
魅力: 52
威望: 22
注册时间: 2003-7-30

迎新贡献奖章宣传贡献奖宣传贡献勋章元老奖章

TOP

板凳大中小发表于 2006-4-6 13:29 只看该作者

re:正版瑞星！上！！！杀！！！

正版瑞星！
上！！！
杀！！！

<font color="blue"><font size="3">http://alianlaoda.ys168.com

人偶尔做一件坏事并不难，难的是一辈子坚持
不懈、兢兢业业、死不悔改的做下去。。。

阿廉老大

大天使

Rank: 14

混迹湘大

帖子: 5495
青韶币: 5425
魅力: 1
威望: 2
注册时间: 2003-1-20

元老奖章

TOP

地板大中小发表于 2006-4-6 14:35 只看该作者

re:怎么感觉冲我来的？

怎么感觉冲我来的？

http://user.qzone.qq.com/28927174

再看你一眼

光明使者

Rank: 11

还来就菊花

帖子: 1908
青韶币: 3877
魅力: 6
威望: 3
注册时间: 2003-9-25

元老奖章

TOP

地下室 大中小发表于 2006-4-6 14:38 只看该作者

re:木马好改，加壳加花容易过查杀，但捆绑机几...

木马好改，加壳加花容易过查杀，但捆绑机几乎全会被杀，除非用rar做捆绑，你也查不到？
再说了，自动复制功能好办，但如果它是插如系统的关键进程更或者是以影响系统速度的代价将自己做成一个系统运行基础路径，那就神仙没救，除非做病毒的知道他插的是哪一段

http://user.qzone.qq.com/28927174

再看你一眼

光明使者

Rank: 11

还来就菊花

帖子: 1908
青韶币: 3877
魅力: 6
威望: 3
注册时间: 2003-9-25

元老奖章

TOP

地底下 大中小发表于 2006-4-6 15:35 只看该作者

re:1:用msconifg看看开机会加载哪些...

1:用msconifg看看开机会加载哪些程序,把不认识的都屏蔽掉,重新启动电脑,如果杀毒软件能认出这些病毒就OK了.
2:上google查出病毒的特性,用windows安装光盘进入故障恢复控制台,用DOS命令把病毒删掉.
PS:只要病毒不是在运行状态下,杀毒软件都能杀掉.这里推荐诺顿黄金企业版,终身免费更新病毒库,就是开机慢了点.

网络幽灵

风云使者

Rank: 10

帖子: 1290
青韶币: 1951
魅力: 0
威望: 0
注册时间: 2003-7-16

元老奖章

TOP

7楼大中小发表于 2006-4-6 21:47 只看该作者

re:不妨参考一下这个网上的：“隐之门”（...

不妨参考一下这个网上的：
“隐之门”（Win32.Troj.AdwareCydoor），木马病毒。该木马病毒感染系统后，会进行收集该系统的信息的活动，或是下载并显示大量广告信息，干扰正常的工作。以下是该病毒的详情：

　　病毒信息：

　　病毒名称: Win32.Troj.AdwareCydoor
　　威胁级别: 2C
　　中文名称: 隐之门
　　受影响系统: Win9x/WinMe/Win2000/WinXP/Win2003

　　技术特点：

　　A、在系统中创建以下文件：
　　%System%\Cd_clint.dll；

　　B、在注册表中建立以下键：
　　HKEY_USERS\.DEFAULT\Software\Cydoor
　　HKEY_USERS\.DEFAULT\Software\Cydoor Services
　　HKEY_CURRENT_USER\Software\Cydoor
　　HKEY_CURRENT_USER\Software\Cydoor Services
　　HKEY_LOCAL_MACHINE\Software\Cydoor。

　　解决方案：

　　A.手工清除
　　在关闭所有应用程序后，然后在系统目录找到木马程序文件：
　　%System%\Cd_clint.dll并删除之即可；

　　B.杀毒
　　请使用全盘查杀功能可完全处理该病毒；

　　C.防范措施
　　请使正版软件，盗版软件通常会在内部隐含这类广告木马，打扰正常的工作。

近来有些网友上QQ时点了"淫荡少女图片.jpg",表面看来是一图片,其实是一个捆绑了图片的程序,只要想双击打开来看,可是人机两空呀,只会提示图片格式出现致命错误!但是背地里你已经中毒了,哈哈!

经研究了一下:
运行后,生成不少东西:
c:\windows\system32\dxdiag32****
c:\windows\system32\notetxt.exe
c:\windows\system32\slcsvr.exe
临时文件夹中(temp)还会生成~dff2b5.exe
ie缓存中也会生成一些东东.
txt文件关联被改成 notetxt.exe %1

中毒症状是:以上几个基本都是木马,在后台会运行进行盗号,QQ是否正常倒没有测试.
任务管理器以及一些杀毒软件,防火墙被杀掉(slcsvr.exe干的坏事)

临时文件夹中(temp)还会生成~dff2b5.exe
ie缓存中也会生成一些东东.
txt文件关联被改成 notetxt.exe %1

中毒症状是:以上几个基本都是木马,在后台会运行进行盗号,QQ是否正常倒没有测试.
任务管理器以及一些杀毒软件,防火墙被杀掉(slcsvr.exe干的坏事)

解决办法：
1。清空temp、ie缓存文件夹内容

2。利用taskkill命令杀掉dxdiag32.exe、slcsvr.exe（利用任务管理器是不行了）

3。到system32文件夹中删除以上的文件。

4。所txt文件关联改为%systemroot%\system32\notepad.exe %1

到些结束。（注意以上过程中不要打开TXT文件。）

terry156

版主

Rank: 16

郁闷的猫

帖子: 629
青韶币: 3
魅力: 2
威望: 1
注册时间: 2005-10-11

TOP