【已解决】有个src格式的病毒，求大神

wslsq

虽然知道是病毒，也显示了src后缀。看到文件夹图标还是手贱啊，求大神救命。
http://pan.baidu.com/s/1skpB1U1

aboringman

请问中毒后的情况是什么（有什么可疑的现象出现），能否简述下？

wslsq

aboringman 发表于 2016-1-31 00:00
请问中毒后的情况是什么（有什么可疑的现象出现），能否简述下？

刚刚不小心点的，赶紧传上来了，暂时还没发现什么异常

aboringman

wslsq 发表于 2016-1-31 00:03
刚刚不小心点的，赶紧传上来了，暂时还没发现什么异常

根据文件B超的检测结果来看，很有可能是木马，建议楼主用杀毒软件扫描下自己的系统，必要时可以使用大蜘蛛扫描器（绿色版）。

检测链接：

https://b-chao.com/index.php/Ind ... #analysis/ajax/demo

附带AVG IDP测试结果：

"";"IDP.Trojan.EE14B26B, C:\Users\kiiler\AppData\Roaming\NsMiner\IMG001.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/30, 23:56:33"
"";", C:\Users\kiiler\AppData\Roaming\NsMiner\IMG001.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Users\kiiler\Desktop\IMG001.scr";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\reg.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\schtasks.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\schtasks.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\powercfg.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\powercfg.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Windows\System32\powercfg.exe";"Object was blocked";"Process";"2016/1/30, 23:56:33"
"";", C:\Users\kiiler\AppData\Roaming\NsMiner\NsCpuCNMiner32.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/30, 23:56:33"
"";", C:\Users\kiiler\AppData\Roaming\NsMiner\NsCpuCNMiner64.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/30, 23:56:33"
"";", C:\Users\kiiler\Desktop\IMG001.scr";"Deleted, Moved to Virus Vault";"File or Directory";"2016/1/30, 23:56:33"
"";", HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN";"Deleted, Moved to Virus Vault";"Registry value";"2016/1/30, 23:56:33"
"";", HKEY_USERS\S-1-5-21-2236816692-667211127-2861217297-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN";"Deleted, Moved to Virus Vault";"Registry value";"2016/1/30, 23:56:33"
"";", C:\Users\kiiler\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Run.lnk";"Healed, Moved to Virus Vault";"File or Directory";"2016/1/30, 23:56:33"

aboringman

另附上大蜘蛛扫描器下载地址：http://download.geo.drweb.com/pu ... 68.128/rnop3m4l.exe

wslsq

aboringman 发表于 2016-1-31 00:34
另附上大蜘蛛扫描器下载地址：http://download.geo.drweb.com/pub/drweb/cureit/1454164468.128/rnop3m4l.e ...

请教大神咋办啊，重装有用不

aboringman

wslsq 发表于 2016-1-31 00:39
请教大神咋办啊，重装有用不

先考虑用杀毒软件和扫描器尝试清除(估计这种威胁的清除不会太困难)，最后再考虑重装。

由于威胁会复制自身并释放到其他盘符，所以重装后可能需要进行一次扫描除掉后患。

wslsq

aboringman 发表于 2016-1-31 00:53
先考虑用杀毒软件和扫描器&# ...

非常感谢大神！我的nod32一开始报毒，然而我不小心点了却不报毒。。。。。我真是手贱

nick20010117

@aboringman 行为略多啊

xyz0703

[mw_shl_code=css,true]日志
正在扫描日志
病毒库版本: 12953 (20160130)
日期: 2016/1/31 星期日  时间: 10:44:11
已扫描的磁盘、文件夹和文件: G:\Users\xyz11\Desktop\IMG001.scr;G:\Users\xyz11\Desktop\information.vbe
G:\Users\xyz11\Desktop\IMG001.scr > NSIS > NsCpuCNMiner32.exe - Win32/BitCoinMiner.BX 潜在的不安全应用程序 的变种 - 通过删除清除 [1]
G:\Users\xyz11\Desktop\IMG001.scr > NSIS > NsCpuCNMiner64.exe - Win64/CoinMiner.J 特洛伊木马 - 通过删除清除 [1]
已扫描的对象数: 19
发现的威胁数: 2
已清除对象数: 2
完成时间: 10:44:15  总扫描时间: 4 秒 (00:00:04)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。
[/mw_shl_code]