怀疑是viking的变种！

鼻耳盖子

E:\SETUP.EXE C:\WINNT\SYSTEM\INTERNAT.EXE
D:\SETUP.EXE C:\WINNT\SYSTEM\INTERNAT.EXE
C:\SETUP.EXE C:\WINNT\SYSTEM\INTERNAT.EXE
C:\WINNT\SYSTEM\INTERNAT.EXE
I:\TEST\070207\6\NEW VIRUS\NEW VIRUS\SETUP.EXE

cory1984

KIS似乎没反应

walkingmu

瑞星挂...

猪啊

这个病毒运行后生成一个可执行文件若干（每次文件名不同），分别添加入启动项
O4 - 启动项HKLM\\Run: [InternetEx] C:\WINDOWS\system\1.exe
O4 - 启动项HKLM\\Run: [wsvs] C:\WINDOWS\wsvs.exe
O4 - 启动项HKLM\\Run: [upxdnd] C:\DOCUME~1\jj\LOCALS~1\Temp\upxdnd.exe
O4 - 启动项HKLM\\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - 启动项HKLM\\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - 启动项HKLM\\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - 启动项HKLM\\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O4 - 启动项HKLM\\Run: [Internet] C:\WINDOWS\system\svchost.exe
O20 - AppInit_DLLs: 919331M.BMP（这也是系统启动项一种）
和一个批处理文件，用来删除自身，删除自身之后再次在根目录下生成
中标对于局域网进行arp攻击

清除办法：结束进程，删除源文件，注意根目录下新生成的setup。exe和autorun。inf

这个病毒没有隐藏进程
没有隐藏启动项
没有加载驱动对源文件和启动项进行保护
更没有对杀软(特指卡巴)的攻击
他的功夫全花在躲避各大杀软的查杀上了
可是好玩的是 我一运行 我的windows自带防火墙居然提示他要访问网络 让我解除
搞笑
这个作者费了这么大的力气
躲过了这么多杀软
却没躲过所谓最菜的windows防火墙
也许他压根儿看不起 所以没在windows防火墙下测试吧

[ 本帖最后由 猪啊 于 2007-2-8 18:39 编辑 ]

asdfghjkl;

百密一疏~

663219623

江民没报毒,瑞星也没报,微点也没报啊,忒好拉,谢谢拉哦!~

ffjjyy

nod32报

kkjattg

我网吧正被这个病毒整死拉,有什么好的解决方法没有?

pen

原帖由 663219623 于 2007-2-9 15:34 发表
江民没报毒,瑞星也没报,微点也没报啊,忒好拉,谢谢拉哦!~

#11楼的微点报了（有截图为证），你（#16楼）的没有报，怎么回事？

[ 本帖最后由 pen 于 2007-2-13 02:11 编辑 ]

solcroft

原帖由 kkjattg 于 2007-2-12 18:02 发表
我网吧正被这个病毒整死拉,有什么好的解决方法没有?

这么多杀软都报了，还不能解决吗？