传说中的磁碟机病毒。。。

拿贝马凡

今天遇到了传说中的磁碟机病毒，安全模式被破坏，进程中出现dnsq.dll smss.exe lsass.exe，还有个lsass.exe.1*****,用  vwsyscheck 看进程，几乎所有的进程都被插入了dnsq.dll模块，而卸载就会出现错误，所以出现wsyscheck关闭，同时在各个盘跟目录下生成autorun.inf和pagefile.sys快捷方式，并在system32 下面出现生成dnsq.dll，在systen32\com目录下生成smss.exe， lsass.exe，netcfg.000，netcfg.dll四个隐藏文件，在system32\microsoft\protect\s-1-5-18\user\s-1-5-18下生成4765c23a-0ee7-4772-b3c7-e21f9c974aeb，Preferred，acd9157b-baf8-48c1-a18f-8600565591ef三个文件。安全模式并破坏，host文件打不开，wsyscheck里居然提示没有权限打开，右键提示n 个句柄错误，在系统服务中出现两个病毒服务，在*\temp目录下，并且还劫持ie指向www.k986.com，我用pe删除以上文件后，重启后又会自动生成，每次启动进程都回加载A0000300.EXE和A0001312.EXE


密码是arswp  不好意思，密码不区分大小写






[ 本帖最后由 拿贝马凡 于 2009-3-26 08:22 编辑 ]

hddu

玩病毒去

[ 本帖最后由 hddu 于 2009-3-25 18:16 编辑 ]

BING126

密码不对。。

百毒

密码不对

qianwenxiang

密码arswp

A0000300.EXE\[UPX] Win32:Xorer-N (avast，修复处理：失败)
A0001312.EXE\[UPX] Win32:Xorer-N (avast，修复处理：失败)

ledled

VB Kill 25

SUZAKU

卡巴

Kill  17

Sebastian

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\new\C'
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000300.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa417.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0001312.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 48820778.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000205.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa419.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000208.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4882077a.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000210.DLL
    [FUND]      Ist das Trojanische Pferd TR/Xorer.A.1
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa41b.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000229.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4882077c.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000230.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa41d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000234.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4882077e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000238.DLL
    [FUND]      Ist das Trojanische Pferd TR/Xorer.A.1
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa41f.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000255.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 48820740.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000256.DLL
    [FUND]      Ist das Trojanische Pferd TR/Xorer.A.1
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa421.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000260.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 48820742.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000261.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa418.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000274.EXE
    [FUND]      Ist das Trojanische Pferd TR/Crypt.CFI.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 48820779.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\SYSTEM VOLUME INFORMATION\_RESTORE{1D012AA3-0F3A-4CAD-B63B-C92B7B3939DB}\RP4\A0000279.EXE
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.Mis.13
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49faa41a.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\~.EXE.21140.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a0fa416.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\WINDOWS\SYSTEM32\ANTITOOL.EXE
    [FUND]      Ist das Trojanische Pferd TR/Crypt.CFI.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a1ea436.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\WINDOWS\SYSTEM32\DNSQ.DLL
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a1da436.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\WINDOWS\SYSTEM32\XP-EA77E9F3.EXE
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f7a438.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\WINDOWS\SYSTEM32\COM\LSASS.EXE
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a0ba43b.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\WINDOWS\SYSTEM32\COM\NETCFG.DLL
    [FUND]      Ist das Trojanische Pferd TR/Xorer.A.1
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a1ea42d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\C\WINDOWS\SYSTEM32\DRIVERS\ALG.EXE
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.Mis.13
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a11a434.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\ArFile.log'
Beginne mit der Suche in 'D:\new\4765c23a-0ee7-4772-b3c7-e21f9c974aeb'
Beginne mit der Suche in 'D:\new\acd9157b-baf8-48c1-a18f-8600565591ef'
Beginne mit der Suche in 'D:\new\Preferred'
Beginne mit der Suche in 'D:\new\lsass.exe'
D:\new\lsass.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Xorer.C
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a2ba45b.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\netcfg.000'
D:\new\netcfg.000
    [FUND]      Ist das Trojanische Pferd TR/Xorer.A.1
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a3ea44d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\netcfg.dll'
D:\new\netcfg.dll
    [FUND]      Ist das Trojanische Pferd TR/Xorer.A.1
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b4a200e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\smss.exe'
D:\new\smss.exe
    [FUND]      Ist das Trojanische Pferd TR/Xorer.DR.40960
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a3da455.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\new\0324.log'


Ende des Suchlaufs: 2009年3月26日  05:36
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

     13 Verzeichnisse wurden überprüft
     31 Dateien wurden geprüft
     26 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     26 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     26 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      5 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
     26 Hinweise

你的喜欢

建议用瑞星，我们要的是系统的安全，也要的是我门在休闲娱乐的时候不被打扰，不被自己的杀毒软件搞的头昏颠倒！