一直不停的提示这个 怎么 办？

zx258

误报了完蛋了~~我的也是

瓜皮猫

先排除恢复，等下次更新病毒库后应该能解决

evenstar98

wo ye shi
shurufa dou da bu kai le
wo ri

aiyaya8

nimen zenme da chu hanzi de aaaaaaa~~?
老婆别打我 发表于 2010.10.6 21:31

去替換下imm32這個文件去吧http://www.loveyaya8.cn/read.php/60.htm

langzi2009

今天 悲剧了

chabosh

没有问题啊

zblzzyq

同楼上，我的也没事

kfc51321

郁闷呀

chabosh

MSnoipds.dat ，wsconfig.db ，imm32.dll ****查杀
时间：2009-12-16 14:32:36 点击：95
　　核心提示：病毒名称： Trojan/Win32.Vilsel.mry[GameThief] 病毒类型： ****该恶意代码文件为DNF游戏盗号****，该病毒文件为后初始化病毒数据，以获取本地系统时间来创建以kb****.dll的随机病毒名文件，删除临时目录下的~t11.tmp、~t22.tmp文件，拷贝系统imm3...
病毒名称： Trojan/Win32.Vilsel.mry[GameThief]
病毒类型： ****

   该恶意代码文件为DNF游戏盗号****，该病毒文件为后初始化病毒数据，以获取本地系统时间来创建以kb****.dll的随机病毒名文件，删除临时目录下的~t11.tmp、~t22.tmp文件，拷贝系统imm32.dll文件到临时目录下命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据，备份系统imm32.dll文件，动态加载"sfc_os.dll"系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护，将imm32.dll拷贝到临时目录下命名为~t22.tmp，然后将病毒修改后的~t11.tmp拷贝到系统目录下替换现有的imm32.dll系统文件，以系统库文件开自动加载病毒文件，删除~t11.tmp文件，拷贝病毒源文件到系统目录下命名为kb118151019.dll，匹配所有进程中的0040728C内存地址的数据是否与病毒查找的数据匹配，如果找到则强行结束其进程，释放BAT批处理文件删除病毒源文件，查找含有“提示码”的窗口找到之后通过读取内存地址数据获取游戏账号密码信息，以上条件成立后读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息，截取含有windows 图片和传真查看器、画图、acdsee、internet explorer的窗口，找到包含以上标题的窗口后自动截取并保存到临时目录下命名为tmpimg2.jpg、tmpimg2.bmp，将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中。

行为分析-本地行为


1、文件运行后会释放以下文件
%System32%\drivers\MSnoipds.dat （读取该文件获取发送方式）
%System32%\wsconfig.db （病毒文件的存放路径）
%System32%\imm32.dll （病毒修改后的系统库文件用于启动病毒文件）
%System32%\kb118153757.dll （病毒原文件）

2、删除临时目录下的~t11.tmp、~t22.tmp文件，拷贝系统imm32.dll文件到临时目录下命名为~t11.tmp并在文件尾部添加一个节名为.ss32向该节写入485字节数据，备份系统imm32.dll文件，动态加载"sfc_os.dll"系统文件，调用该库文件序号为#5的函数来去掉对imm32.dll文件的保护，替换现有的imm32.dll系统文件，以系统库文件开自动加载病毒文件，删除~t11.tmp文件，拷贝病毒源文件到系统目录下命名为kb118151019.dll。

3、匹配所有进程中的0040728C内存地址的数据是否与病毒的16字节数据（6EDF5AD6D300671DBEEB30A8A0514795）匹配，查找含有“提示码”的窗口找到之后通过读取内存地址数据获取游戏账号密码信息，以上条件成立后则读取游戏目录的.\start\usersetting.ini配置文件获取用户所在服务器相关信息，截取含有windows图片和传真查看器、画图、acdsee、internet explorer的窗口，找到包含以上标题的窗口后自动截取并保存为tmpimg2.jpg、tmpimg2.bmp图片。

行为分析-网络行为


将截取到的账号密码及图片以URL或email方式发送到作者指定的地址中
[0]
0=http://wuwu.fangfang87***.com/aai0_wwefc/lin.asp
1=hankemail
2=hankeimg
3=1
[1]
0=http://wuwu.fangfang871***.com/aai0_wwefc/lin.asp
1=hankemail
2=hankeimg
3=1


清除方案
手工清除请按照行为分析删除对应文件，恢复相关系统设置。

使用atool中的文件管理删除病毒文件
%System32%\drivers\MSnoipds.dat
%System32%\wsconfig.db
%System32%\imm32.dll
%System32%\kb118153757.dll
将%System32%\ 目录下的imm32.dll.bak替换为imm32.dll

万家维修

系统文件被误报了
建议暂时排除这个文件