一次惊险的中毒史

kflj

写了这个也是为了那些频繁使用ｕ盘，并且没有禁用ａｕｔｏｒｕｎ，或者其它安全措施的人

那好我就和大家分享一下　那次ｕ盘ｎｏｒｔｏｎ中毒史：
首先插入ｕ盘，当时ｎｏｒｔｏｎ　立即就报了！我可欣慰，但是听到硬盘在不停的响
我也立即点了隔离，问题出来了：平常病毒就是一下就隔了，可是ｎｏｒｔｏｎ大概隔离用了将近十五秒钟，
期间硬盘依然狂转，ｃｐｕ一直飙升在９０％以上，桌面上也多了许多莫名其妙的图标！
然后ｎｏｒｔｏｎ报隔离成功，
可是：我的硬盘依然嗤嗤转折，ｃｐｕ依然很高，并且桌面上多了许多图标，并且在不停的增多，我当然不会再等，看了进程，惊奇地发现还有两个相同的不认识的进程！我就手动给它关闭了，ｃｐｕ恢复，硬盘也不再响了，图标也不增多了，

但是我打开各个盘，惊奇地发现每个盘里面都多了十几个文件，并且删不掉！
我都后怕如果不是，手动管进程，还会有多少类似文件，也明白了为什么硬盘在狂转

毒倒是隔掉了，但是以后只要每次插入ｕ盘，那两个该死的进程就有重现，硬盘又狂转，又开始生成乱七八糟的文件，然后ｎｏｒｔｏｎ还会跳出来报那个毒，我那系统不重做又有什么办法呢？
知道现在我也不知道，是不是写珊不掉的文件，可以在下次插ｕ盘时，自动激活！

ｎｏｒｔｏｎ就这样每次都报，然后我看了它的日志，差点气爆炸，里面竟一五一十的记录了该病毒对注册表的修改，我记得很清楚：３５项。你都知道病毒对注册表修改，不档还把它记录下来，并且不说明是怎么改的，这到底是干什么吗，让系统明白是怎么死的吗？？？！！！

并且告诉大家，单纯的压缩包来扫这某个ｕ毒能发现，和放在ｕ盘里ａｕｔｏｒｕｎ发作　是不同的，你可能可以用压缩包扫到删除，但是未必插入ｕ盘病毒自动激活时杀软很难完全挡住，不留痕迹！

我清楚地记得这个可恶的折磨人的病毒的名字：
至少是ｎｏｒｔｏｎ报隔离的那个名字：W32.SILLYDC  !

Atlantis祭司

可怜的孩子。

不过楼主的情况的确很奇怪。

并且告诉大家，单纯的压缩包来扫这某个ｕ毒能发现，和放在ｕ盘里ａｕｔｏｒｕｎ发作　是不同的，你可能可以用压缩包扫到删除，但是未必插入ｕ盘病毒自动激活时杀软很难完全挡住，不留痕迹！

个人并不赞同楼主的这个观点。

[ 本帖最后由 Atlantis祭司 于 2009-3-27 21:32 编辑 ]

kflj

不是特指norton的,很多沙软对autorun好像都不好
倒是很多沙软插上后病毒主体都可以杀除

可是好像系统已经感染了一样
以后只要u盘一插,u盘就被感染

然后u盘在往别的机器上插,就感染别的机器
机房到处都是这种病毒,倒是没啥危害
可就是全盘扫描没一个能扫出来的

[ 本帖最后由 kflj 于 2009-3-27 21:37 编辑 ]

Atlantis祭司

系统处理autorun.inf文件的过程无非如下

svchost.exe读取autorun.inf，然后explorer.exe读取autorun.inf，再然后explorer.exe将autorun.inf里的相关内容写入注册表中MountPoints2这个键值。

何来的

并且告诉大家，单纯的压缩包来扫这某个ｕ毒能发现，和放在ｕ盘里ａｕｔｏｒｕｎ发作　是不同的，你可能可以用压缩包扫到删除，但是未必插入ｕ盘病毒自动激活时杀软很难完全挡住，不留痕迹！

[ 本帖最后由 Atlantis祭司 于 2009-3-28 00:21 编辑 ]

asinasina

去样本区发上压缩包吧．．．
诺顿处理长是因为要修复相关地方啊．．

一凡

请楼主提供本帖所涉及到的样本病毒到样本区，谢谢。
不然楼主所谈将无从考证，单纯的从一、两个病毒不杀就去一个杀软是不好的，这是很片面的。没有任何一个杀软能100%清除所有病毒。

kflj

norton但是报的名称
w32.sillydc
不是一两个病毒,也不是特指某一个沙软,而是很多autorun病毒,很多沙软处理的真的不好

一凡

可是从你的发帖看，病毒是被杀了的，因此何来中毒之说？
每个杀毒软件的机制作法有不一样，有的是启发后直接查杀加隔离，有的是直接隔离，有的是隔离后修复……总之，隔离、修复、清除的顺序不同。

Atlantis祭司

请朋友关注我4#的回复。个人认为不存在防病毒软件处理不好U盘病毒的问题。

kflj

的确是被杀了
但是以后每次再插任何u盘,norton还报毒,同样的病毒

而且norton隔了那个毒以后,还有两个进程是我手动关闭的,不关闭,就一直往C,D,E盘里写文件,并且,cpu飙的可高