TGFC Lifestyle - Powered by Discuz! Board

标题: [电脑] 中了个很牛B的木马，高手们帮我看看倒底是什么东西 [打印本页]

作者: USE2 时间: 2009-6-8 10:06 标题: 中了个很牛B的木马，高手们帮我看看倒底是什么东西

症状:
1.在系统盘多处及Program Files目录下生成.exe文件，并将自己注册成开机启动项。文件名为一串数字+字母的随机字符（如：7E08FB20.EXE），其公司、版权等信息均为乱码
2.在系统盘"启动"文件夹内生成.scr文件，文件名同上
3.病毒发作时屏幕一闪一闪，"任务管理器"等部分窗口打开后瞬间被关闭，并不时地弹出广告类网页、windows确认框、下载框等东西
4.断网状态下开机没有异常，但只要一连上网络进程中立即出现多个上述的.exe进程
5.Ghost恢复系统盘无效

PS：我用的是Mcafee 8.5i + AVG8………………

[ 本帖最后由 USE2 于 2009-6-8 10:09 编辑 ]

作者: eos 时间: 2009-6-8 10:54

ghost恢复后不要点击除C盘外任何磁盘，直接打开杀毒软件查杀其它盘

作者: cc0128 时间: 2009-6-8 11:25

ghost之后按开始+E.打开资源管理器。
点击左边树状菜单的盘符，进去把奇怪的autorun.inf和.exe给删了就搞定。。

作者: zhrflyhigh 时间: 2009-6-8 12:25

应该把硬盘格式化一下
别双击进入某一个磁盘分区,应该有可能木马把每一个盘的自动打开设置为运行木马了..
要右击然后点打开..

作者: 游戏时间 时间: 2009-6-8 13:46

windows清理助手试试？

作者: 瞎狗 时间: 2009-6-8 15:07

GHOST后直接下杀毒装C盘，然后全盘杀，基本就没问题了应该~~~~

作者: 小猪快跑 时间: 2009-6-8 15:39

不会是中了影子病毒了吧

作者: ggyy 时间: 2009-6-8 16:24

autorun手动分析每个启动项，应该能找到

作者: ztxzhang518 时间: 2009-6-8 16:27

说实话,这个病毒还真不算NB的~

作者: dizhang 时间: 2009-6-8 18:18

c盘ghost后不要打开任何其他盘，直接上网下360卫士+nod32，杀杀看。或者装winrar，用winrar自带的资源管理器也能看到隐藏在其他分区根目录下的autorun这类的东西。

作者: separation 时间: 2009-6-8 21:58

以前有遇见个类似的病毒不知道是不是楼主说的这种它会感染所有执行过的.EXE文件
如果是我碰到的那种病毒只能重装系统然后立刻去网上下载杀毒软件查杀在这之前硬盘里的可执行程序一个也别运行如果运行了感染的安装程序那你就彻底SB了

作者: ppst 时间: 2009-6-9 14:05

碰到过，咖啡访问保护的几个规则打开就可以限制它了，杀的话还是格式化方便。。。

作者: USE2 时间: 2009-6-9 17:36

病毒是控制住了，但360还是经常提示“是否允许XXXXXX.EXE添加为启动项”，估计后门还是没清干净。卡巴咖啡 360等木马专杀用遍了也查不出任何东西，郁闷……本来看症状疑似AV终结者，但现在看来这东西比AV终结者难搞多了

to ls：MCAFEE的自定义规则不起作用，我也不知道为什么。比如自己定义个限制XX路径想不允许生成EXE文件，但结果还是照生成不误，现在干脆卸了咖啡换卡巴了。。。

[ 本帖最后由 USE2 于 2009-6-9 17:38 编辑 ]

欢迎光临 TGFC Lifestyle (http://tgfcer.com/)