作者chinyi65 (天涯一粒米)
看板AntiVirus
标题[中毒] 难缠的木马
时间Sun Sep 28 01:59:23 2008
一、问题描述:
所有硬碟会出现(aqjbakuy.exe)(htcnlqtl.exe)两个执行档
所有资料夹都会带有一个autorun.inf、autorun.inf.vir档
开机会自动跑..\system\(aqjbakuy.exe)(htcnlqtl.exe)内容为:
[AutoRun]
open=aqjbakuy.exe
shell\open=湖羲(&O)
shell\open\Command=aqjbakuy.exe
shell\open\Default=1
shell\explore=訧埭夺烩け(&X)
shell\explore\Command=aqjbakuy.exe
二、各个资料夹的隐藏档都可以正常显示
唯独autorun.inf 以及 aqjbakuy.exe 不会显示出来。
三、按F8无法进入安全模式。
四、「资料夹选项」-->「检视」-->「隐藏保护的作业系统档案(建议使用)」
最後那个选项会消失
五、卡八会被锁掉,无法启动对话匡
2.扫毒报告:
用NOD32扫不出来
用Trojan Remover扫的出来也删掉,但开机後再生
用木马清除大师2008,同上
用KVTOOLS 1.2.2,同上
用USBCleaner6.0,只能扫到autorun.inf,一样再生
用kavo_killer依然存在
4.报告连结:
请将上传的扫描报告(log)连结贴於下方 (全部都要)
Combofix :
http://kotuha.com/file/ZTrRl-log.html
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/32638.txt
SRENG :
http://kotuha.com/file/2cERL-SREngLOG.html
扫毒报告 :Nod扫不出
结论:
处理了两台都无法解毒,最後都以重灌了事
PO上网看有没有版友也有遇到的
--
洒下一粒种子,大地会为你开出一朵花。--纪伯伦
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.169.47.198
※ 编辑: chinyi65 来自: 118.169.47.198 (09/28 02:01)
1F:推 OceanRay:可以用XPE开机光碟进去 再用kavo_killer或其他清毒工具 09/28 02:30
※ 编辑: chinyi65 来自: 118.169.47.198 (09/28 02:33)
2F:→ OceanRay:这是随身碟病毒 打搜寻有不少先进提出解决方案了 09/28 02:33
3F:→ chinyi65:kavo_killer用过了,无解,一样存在 09/28 02:34
※ 编辑: chinyi65 来自: 118.169.47.198 (09/28 02:36)
4F:→ TypeZero:可以给我吗?加密码後传免空 然後站内信 09/28 02:39
※ 编辑: chinyi65 来自: 118.169.47.198 (09/28 02:41)
5F:→ chinyi65:不知怎麽把病毒复制出来,因为视窗下看不到,用cmd 09/28 02:43
6F:→ chinyi65:然後在指令模式下打 dir /a/p才看的到这个执行档 09/28 02:44
7F:→ chinyi65:顺便补充,随身碟有用USBCleaner制作一个免疫的 09/28 02:46
8F:→ chinyi65:Autorun.inf资料夹,以及关掉电脑的自动执行,但感染 09/28 02:47
9F:→ chinyi65:这支病毒後,防疫的Autorun.inf会失效,自动启动也会恢复 09/28 02:48
11F:→ chinyi65:System32资料夹视窗下也会看不见,里面也会有这两支执行档 09/28 03:02
13F:→ hirokofan:置底闪光呢? 09/28 07:12
14F:推 xiaoyao:这只我遇过 不难处理 09/28 09:59
15F:推 junorn:看特徵置底闪光应该可以清掉... 09/28 10:25
16F:→ junorn:不过要跟目录的autorun.inf存在才行。 09/28 10:26
17F:→ junorn:喔对了这一支和KAVO一点关系都没有。 09/28 12:02
18F:→ lovemost:不要使用kavo_killer...根本除不乾净~问题多多 09/28 12:33
19F:→ chinyi65:置底闪光无解,最後用江民扫毒处理掉 09/29 22:17
20F:推 jg065:我用小红伞ok 10/01 16:26