请大大们帮我分析下，老是删不了，

显示全部楼层 · 发表于 2008-7-23 08:38:52

对我用的红伞查到的就和楼上的那个病毒名是一样的，TR/Agent.281149
可是杀完了之后过1天又有了，我在安全模式下杀了，也一样，过1天又有，请问怎么办啊，

显示全部楼层 · 发表于 2008-7-23 09:14:54

使用Fsecure试试，不要用扫描，他有智能主防

显示全部楼层 · 发表于 2008-7-23 09:31:03

原帖由 htyhzd 于 2008-7-23 09:14 发表
使用Fsecure试试，不要用扫描，他有智能主防

看看10楼的扫描结果，Fsecure 查不到这个病毒的

另外看了微软的扫描结果， BrowserModifier:Win32/CNNIC
觉得这个病毒貌似流氓插件或者软件之类的东西，建议下个金山清理专家或者类似的软件清理一下流氓软件和插件。
Microsoft BrowserModifier:Win32/CNNIC

显示全部楼层 · 发表于 2008-7-23 10:17:12

下载附件脱壳时俺也中了，流氓清除软件无法清除，后在PE系统下手除之。
附件为该毒相关文件，其中有两个（名称的前3个字母也是CDN）未打包在内，手删勿遗漏

显示全部楼层 · 发表于 2008-7-23 15:00:49

修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{35980F6E-A137-4E50-953D-813BB8556899}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run（IdnMail，CApp）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CdnHook（加载驱动）

加载驱动
C:\WINDOWS\system32\drivers\ahook.sys

创建进程
C:\WINDOWS\system32\capp.exe
C:\WINDOWS\system32\IdnMail.exe

设置全局挂钩
C:\WINDOWS\system32\hookdll.dll
C:\WINDOWS\system32\idnoe.dll

连接网络
获取主机DNS
连接
159.226.7.167

创建的文件
C:\Documents and Settings\Administrator\Local Settings\Temp\CNNIC\setup.exe
C:\WINDOWS\system32\hookdll.dll
C:\WINDOWS\system32\idnoe.dll
C:\WINDOWS\system32\drivers\ahook.sys
C:\WINDOWS\system32\capp.exe
C:\WINDOWS\system32\cdn.dll
C:\WINDOWS\system32\cdnaux.dll
C:\WINDOWS\system32\cdnficfg.dat
C:\WINDOWS\system32\cdnhint.dat
C:\WINDOWS\system32\cdnhook.dat
C:\WINDOWS\system32\cdniehlp.dll
C:\WINDOWS\system32\cdnprot.dll
C:\WINDOWS\system32\cdntdns.dll
C:\WINDOWS\system32\cdnunkw.dll
C:\WINDOWS\system32\character.dat
C:\WINDOWS\system32\codelib.dll
C:\WINDOWS\system32\hookdll.dll
C:\WINDOWS\system32\idnacc.dll
C:\WINDOWS\system32\idnmail.exe
C:\WINDOWS\system32\idnmail.ini
C:\WINDOWS\system32\idnoe.dll
C:\WINDOWS\system32\idnol.dll
C:\WINDOWS\system32\nsp.dll
C:\WINDOWS\system32\zconfig.dat
C:\WINDOWS\system32\zunins.exe
C:\WINDOWS\system32\zupdate
C:\WINDOWS\system32\zver.dat
C:\windows\system32\CdnIEHlp.dll
C:\WINDOWS\system32\IdnMail.exe

附上全部释放文件打包
PS：C:\Documents and Settings\Administrator\Local Settings\Temp\CNNIC\setup.exe该文件被其自身删除未能获取

[ 本帖最后由 agggg5566 于 2008-7-23 15:02 编辑 ]

显示全部楼层 · 发表于 2008-7-23 15:09:08

貌似360有专门的KILL3721的工具.上360.cn观察。

显示全部楼层 · 发表于 2008-7-23 15:20:08

一共5个：
Virus detected: Generic Malware          On-demand antivirus scan       2008-7-23 3:18:21 PM  Notified             Path: F:\My Documents\Downloads\Compressed\²¡¶¾\²¡¶¾[CodeLib.dll]
Virus detected: Generic Malware          On-demand antivirus scan       2008-7-23 3:18:21 PM  Notified             Path: F:\My Documents\Downloads\Compressed\²¡¶¾\²¡¶¾[CdnProt.dll]
Virus detected: Generic Malware          On-demand antivirus scan       2008-7-23 3:18:21 PM  Notified             Path: F:\My Documents\Downloads\Compressed\²¡¶¾\²¡¶¾[CdnIEHlp.dll]
Virus detected: Generic Malware          On-demand antivirus scan       2008-7-23 3:18:21 PM  Notified             Path: F:\My Documents\Downloads\Compressed\²¡¶¾\²¡¶¾[cdn.dll]
Virus detected: Generic Malware          On-demand antivirus scan       2008-7-23 3:18:21 PM  Notified             Path: F:\My Documents\Downloads\Compressed\²¡¶¾\²¡¶¾[CdnAux.dll]

显示全部楼层 · 发表于 2008-7-23 18:26:30

那我该用什么杀毒软件才能彻底删掉啊，现在连小红伞都无法删掉，

显示全部楼层 · 发表于 2008-7-23 18:32:30

进程中结束
C:\WINDOWS\system32\capp.exe
C:\WINDOWS\system32\IdnMail.exe

这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

C:\Documents and Settings\Administrator\Local Settings\Temp\CNNIC\setup.exe
C:\WINDOWS\system32\hookdll.dll
C:\WINDOWS\system32\idnoe.dll
C:\WINDOWS\system32\drivers\ahook.sys
C:\WINDOWS\system32\capp.exe
C:\WINDOWS\system32\cdn.dll
C:\WINDOWS\system32\cdnaux.dll
C:\WINDOWS\system32\cdnficfg.dat
C:\WINDOWS\system32\cdnhint.dat
C:\WINDOWS\system32\cdnhook.dat
C:\WINDOWS\system32\cdniehlp.dll
C:\WINDOWS\system32\cdnprot.dll
C:\WINDOWS\system32\cdntdns.dll
C:\WINDOWS\system32\cdnunkw.dll
C:\WINDOWS\system32\character.dat
C:\WINDOWS\system32\codelib.dll
C:\WINDOWS\system32\hookdll.dll
C:\WINDOWS\system32\idnacc.dll
C:\WINDOWS\system32\idnmail.exe
C:\WINDOWS\system32\idnmail.ini
C:\WINDOWS\system32\idnoe.dll
C:\WINDOWS\system32\idnol.dll
C:\WINDOWS\system32\nsp.dll
C:\WINDOWS\system32\zconfig.dat
C:\WINDOWS\system32\zunins.exe
C:\WINDOWS\system32\zupdate
C:\WINDOWS\system32\zver.dat
C:\windows\system32\CdnIEHlp.dll
C:\WINDOWS\system32\IdnMail.exe

开始运行regedit  打开注册表编辑器  删除以下项目：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项下的
IdnMail和CApp；

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CdnHook；

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

显示全部楼层 · 发表于 2008-7-23 20:21:52

C:\WINDOWS\system32\capp.exe
C:\WINDOWS\system32\IdnMail.exe
我进程中没有这两个啊

[病毒样本] 请大大们帮我分析下，老是删不了，

本帖子中包含更多资源

本帖子中包含更多资源

回复 15楼 agggg5566 的帖子

回复 19楼 agggg5566 的帖子