9,506
社区成员
发帖
与我相关
我的任务
分享这个病毒谁知道?
C:\WINDOWS\SYSTEM32\ZYCDEX.DLL
C:\WINDOWS\TEMP\WMSETUP.DLL
----------------------
这只2个文件,这只2个文件删除就自动产生.
过一会就会产生下列病毒:
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\1.gif
命令行:"C:\WINDOWS\TEMP\\1.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\3.gif
命令行:"C:\WINDOWS\TEMP\\3.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\5.gif
命令行:"C:\WINDOWS\TEMP\\5.gif"
木马名称:Trojan/Win32.SuperKiller.jco
路径:C:\WINDOWS\Temp\\6.gif
命令行:"C:\WINDOWS\TEMP\\6.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\10.gif
命令行:"C:\WINDOWS\TEMP\\10.gif"
木马名称:Trojan/Win32.PSW.OnlineGames.gen
路径:C:\WINDOWS\Temp\\11.gif
命令行:"C:\WINDOWS\TEMP\\11.gif"
木马名称:Trojan/Win32.Agent.sav
路径:C:\WINDOWS\Temp\\15.gif
命令行:"C:\WINDOWS\TEMP\\15.gif"
木马名称:Trojan/Win32.IEprot.jct
路径:C:\WINDOWS\Temp\\16.gif
命令行:"C:\WINDOWS\TEMP\\16.gif"
木马名称:Trojan/Win32.IEprot.jct
路径:C:\WINDOWS\Temp\\18.gif
命令行:"C:\WINDOWS\TEMP\\18.gif"
木马名称:Trojan-GameThief/Win32.OnLineGames.shhw
路径:C:\WINDOWS\Temp\\19.gif
命令行:"C:\WINDOWS\TEMP\\19.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\20.gif
命令行:"C:\WINDOWS\TEMP\\20.gif"
木马名称:Trojan/Win32.IEprot.jcw
路径:C:\WINDOWS\Temp\\7.gif
命令行:"C:\WINDOWS\TEMP\\7.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\8.gif
命令行:"C:\WINDOWS\TEMP\\8.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\9.gif
命令行:"C:\WINDOWS\TEMP\\9.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\27.gif
命令行:"C:\WINDOWS\TEMP\\27.gif"
木马名称:Infostealer/Win32.Gampass
路径:C:\WINDOWS\Temp\\28.gif
命令行:"C:\WINDOWS\TEMP\\28.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\30.gif
命令行:"C:\WINDOWS\TEMP\\30.gif"
------------------
诺盾只能发现隔离,360也只能发现提示,ArSwp也清理不净.肯定还有病毒主体在系统中没被发现,谁知道?怎么干掉它?
C:\WINDOWS\TEMP\WMSETUP.DLL
----------------------
这只2个文件,这只2个文件删除就自动产生.
过一会就会产生下列病毒:
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\1.gif
命令行:"C:\WINDOWS\TEMP\\1.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\3.gif
命令行:"C:\WINDOWS\TEMP\\3.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\5.gif
命令行:"C:\WINDOWS\TEMP\\5.gif"
木马名称:Trojan/Win32.SuperKiller.jco
路径:C:\WINDOWS\Temp\\6.gif
命令行:"C:\WINDOWS\TEMP\\6.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\10.gif
命令行:"C:\WINDOWS\TEMP\\10.gif"
木马名称:Trojan/Win32.PSW.OnlineGames.gen
路径:C:\WINDOWS\Temp\\11.gif
命令行:"C:\WINDOWS\TEMP\\11.gif"
木马名称:Trojan/Win32.Agent.sav
路径:C:\WINDOWS\Temp\\15.gif
命令行:"C:\WINDOWS\TEMP\\15.gif"
木马名称:Trojan/Win32.IEprot.jct
路径:C:\WINDOWS\Temp\\16.gif
命令行:"C:\WINDOWS\TEMP\\16.gif"
木马名称:Trojan/Win32.IEprot.jct
路径:C:\WINDOWS\Temp\\18.gif
命令行:"C:\WINDOWS\TEMP\\18.gif"
木马名称:Trojan-GameThief/Win32.OnLineGames.shhw
路径:C:\WINDOWS\Temp\\19.gif
命令行:"C:\WINDOWS\TEMP\\19.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\20.gif
命令行:"C:\WINDOWS\TEMP\\20.gif"
木马名称:Trojan/Win32.IEprot.jcw
路径:C:\WINDOWS\Temp\\7.gif
命令行:"C:\WINDOWS\TEMP\\7.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\8.gif
命令行:"C:\WINDOWS\TEMP\\8.gif"
木马名称:Trojan/Win32.SuperKiller.jcn
路径:C:\WINDOWS\Temp\\9.gif
命令行:"C:\WINDOWS\TEMP\\9.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\27.gif
命令行:"C:\WINDOWS\TEMP\\27.gif"
木马名称:Infostealer/Win32.Gampass
路径:C:\WINDOWS\Temp\\28.gif
命令行:"C:\WINDOWS\TEMP\\28.gif"
木马名称:Trojan/Win32.SuperKiller.jcq
路径:C:\WINDOWS\Temp\\30.gif
命令行:"C:\WINDOWS\TEMP\\30.gif"
------------------
诺盾只能发现隔离,360也只能发现提示,ArSwp也清理不净.肯定还有病毒主体在系统中没被发现,谁知道?怎么干掉它?
...全文
请发表友善的回复…
发表回复
wojiajiji22 2008-09-02
- 打赏
- 举报
google或baidu一下就知道了。
jinjinlyw 2008-09-02
- 打赏
- 举报
这个病毒,是一个下载者来的,主要是下载当前最为流行的盗密码的Trojan-GameThief.Win32.OnLineGames病毒。
这个病毒的几个主要行为特点:
1,感染%SystemRoot%\system32\actxprxy.dll,实现自启动。正常actxprxy.dll大概77K左右,感染后为100k。
2,释放病毒文件%ProgramFiles%\Messenger\msgmr.dll,注册表添加启动项ShellServiceObjectDelayLoad。过数字签名。
3,%SystemRoot%\fonts\framdee.ttf为的下载者的主体文件,驱动隐藏,在icesword中可以发现它的踪迹和强制删除,它主要是下载OnLineGames的病毒文件。访问http://60.191.223.14/pic/下载病毒,全部以1.gif,2.gif,3.gif等伪装。
4,actxprxy.dll加载到explorer.exe后会访问116.252.185.15下载%temp%\wmsetup.dll,%temp%\ravupdate.dat这2个文件,注入explorer.exe和svchost.exe。ravupdate.dat的作用是确保%ProgramFiles%\Messenger\msgmr.dll这个启动项,此dll作用不清楚。
由于最开始已经删除了很多,所以这个病毒分析的很粗糙。初步的解决办法:
1,切记首先一定要断网。
2,
清除下列程序:
%temp%\wmsetup.dll
%temp%\ravupdate.dat
%SystemRoot%\temp\wmsetup.dll
%SystemRoot%\temp\ravupdate.dat
%SystemRoot%\apppatch\desktopwin.dll
%SystemRoot%\system32\drivers\eth8023.sys
%SystemRoot%\fonts\framdee.ttf
%ProgramFiles%\Messenger\msgmr.dll
最先用XDelBoxX干掉eth8023.sys,然后用icesword强制删除掉framdee.ttf。其他程序用XDelBoxX或费尔清除即可。由于windows清理助手还不能清除这个病毒,可以试试这个脚本
点击下载脚本
放到助手的ini文件夹下扫描就可以了。
3,删除掉被感染的%SystemRoot%\system32\actxprxy.dll和%SystemRoot%\system32\dllcache\actxprxy.dll
把正常的actxprxy.dll文件复制还原。
这个病毒的几个主要行为特点:
1,感染%SystemRoot%\system32\actxprxy.dll,实现自启动。正常actxprxy.dll大概77K左右,感染后为100k。
2,释放病毒文件%ProgramFiles%\Messenger\msgmr.dll,注册表添加启动项ShellServiceObjectDelayLoad。过数字签名。
3,%SystemRoot%\fonts\framdee.ttf为的下载者的主体文件,驱动隐藏,在icesword中可以发现它的踪迹和强制删除,它主要是下载OnLineGames的病毒文件。访问http://60.191.223.14/pic/下载病毒,全部以1.gif,2.gif,3.gif等伪装。
4,actxprxy.dll加载到explorer.exe后会访问116.252.185.15下载%temp%\wmsetup.dll,%temp%\ravupdate.dat这2个文件,注入explorer.exe和svchost.exe。ravupdate.dat的作用是确保%ProgramFiles%\Messenger\msgmr.dll这个启动项,此dll作用不清楚。
由于最开始已经删除了很多,所以这个病毒分析的很粗糙。初步的解决办法:
1,切记首先一定要断网。
2,
清除下列程序:
%temp%\wmsetup.dll
%temp%\ravupdate.dat
%SystemRoot%\temp\wmsetup.dll
%SystemRoot%\temp\ravupdate.dat
%SystemRoot%\apppatch\desktopwin.dll
%SystemRoot%\system32\drivers\eth8023.sys
%SystemRoot%\fonts\framdee.ttf
%ProgramFiles%\Messenger\msgmr.dll
最先用XDelBoxX干掉eth8023.sys,然后用icesword强制删除掉framdee.ttf。其他程序用XDelBoxX或费尔清除即可。由于windows清理助手还不能清除这个病毒,可以试试这个脚本
点击下载脚本
放到助手的ini文件夹下扫描就可以了。
3,删除掉被感染的%SystemRoot%\system32\actxprxy.dll和%SystemRoot%\system32\dllcache\actxprxy.dll
把正常的actxprxy.dll文件复制还原。
jianchaxia 2008-09-02
- 打赏
- 举报
想知道!!!!!!!!!
jianchaxia 2008-09-02
- 打赏
- 举报
没见过!!!!!!!!11
zitinankewi 2008-09-01
- 打赏
- 举报
就目前情况说个方法LZ可以试试:
hsine 2008-08-25
- 打赏
- 举报
又是Downloader, 这个上个礼拜好像感染的人特多,我这里写了个专杀,效果不错,需要的联系 QQ 185788543
xqls_xqls 2008-08-24
- 打赏
- 举报
[Quote=引用 32 楼 wshwqh2000 的回复:]
关于wmsetup.dll的一个问题(中毒了的朋友都可以看看或许对你有用)
当你电脑反覆中毒(现在的流行病毒),每次按照版主们说的方法清除了,正常了,可是一连上网连没多少时间就再次中招,那么可以照我下面的方法试试看。假设所有人的系统装在C盘用户名是administrator,XP sp2系统(因为我的是这样子的)
首先,查看一下C:\Documents and Settings\Administrator\Local Settings\Temp这个日录里面是否存在一个wmsetup.dll文件…
[/Quote]
这方法不错。楼主用360处理好病毒后,可以试试32楼的方法
关于wmsetup.dll的一个问题(中毒了的朋友都可以看看或许对你有用)
当你电脑反覆中毒(现在的流行病毒),每次按照版主们说的方法清除了,正常了,可是一连上网连没多少时间就再次中招,那么可以照我下面的方法试试看。假设所有人的系统装在C盘用户名是administrator,XP sp2系统(因为我的是这样子的)
首先,查看一下C:\Documents and Settings\Administrator\Local Settings\Temp这个日录里面是否存在一个wmsetup.dll文件…
[/Quote]
这方法不错。楼主用360处理好病毒后,可以试试32楼的方法
guodaoren 2008-08-24
- 打赏
- 举报
路过,看看啊.
shuaijwzi 2008-08-23
- 打赏
- 举报
就目前情况说个方法LZ可以试试:
DSEIOSPOEOP 2008-08-22
- 打赏
- 举报
额用得是诺顿那款产品。从没中过毒,notron用事实保护我的电脑。迎奥运,听说现在买诺顿还送一年服务,大牌子就是不一样啊
a7169059 2008-08-22
- 打赏
- 举报
这个病毒我遇见过.我在网吧的时候见过.
先断网,然后先用360顽固木马杀毒.杀完之后然后估计能装上咔吧斯机了
装上之后用他杀,更新之后杀,比较好用,之后把IE 换成7.0版本的
估计这个病毒是从IE里进去的,
然后再杀毒.再用诺顿查看看有没有了
先断网,然后先用360顽固木马杀毒.杀完之后然后估计能装上咔吧斯机了
装上之后用他杀,更新之后杀,比较好用,之后把IE 换成7.0版本的
估计这个病毒是从IE里进去的,
然后再杀毒.再用诺顿查看看有没有了
wshwqh2000 2008-08-22
- 打赏
- 举报
关于wmsetup.dll的一个问题(中毒了的朋友都可以看看或许对你有用)
当你电脑反覆中毒(现在的流行病毒),每次按照版主们说的方法清除了,正常了,可是一连上网连没多少时间就再次中招,那么可以照我下面的方法试试看。假设所有人的系统装在C盘用户名是administrator,XP sp2系统(因为我的是这样子的)
首先,查看一下C:\Documents and Settings\Administrator\Local Settings\Temp这个日录里面是否存在一个wmsetup.dll文件。如果有,可以先求助版主或看http://bbs.ikaka.com/showtopic-8512830.aspx
我现在这里只说清除以后的防止再次中这毒。
当你清除完以后,先不要连网,把你电脑上wmsetup.dll删除掉,
c:\windows\temp\
C:\Documents and Settings\NetworkService\Local Settings\Temp
这两目录里面有时也会有,没有找到就不管它,证明已经给清除掉了。
然后去
C:\WINDOWS\AppPatch
目录下删除
jview.dll如果没有就不理它。
然后在这目录下新建一个文件夹改名为jview.dll
再打开金山清理专家,下载地址是:http://www.duba.net/qing/
点病毒木马防杀,再点展开出来的网页安全防护
附件: 您所在的用户组无法下载或查看附件
(如果是刚安装的,还要点下方的安装启用)再点击右边的反钓鱼设置,阻止的网址再点右边的+添加规则,
输入*root.51113.com* (这是阻止连接带有输入内容的所有网址)
附件: 您所在的用户组无法下载或查看附件
确定
再点网页防挂马设置
点阻止列表
再点右上角的+添加
直接输入如下内容
c:\docume~1\admini~1\locals~1\temp\qq_update.cab再点确定
关掉清理专家,连上网线,就不怕再有这类木马占用你的电脑了
当你电脑反覆中毒(现在的流行病毒),每次按照版主们说的方法清除了,正常了,可是一连上网连没多少时间就再次中招,那么可以照我下面的方法试试看。假设所有人的系统装在C盘用户名是administrator,XP sp2系统(因为我的是这样子的)
首先,查看一下C:\Documents and Settings\Administrator\Local Settings\Temp这个日录里面是否存在一个wmsetup.dll文件。如果有,可以先求助版主或看http://bbs.ikaka.com/showtopic-8512830.aspx
我现在这里只说清除以后的防止再次中这毒。
当你清除完以后,先不要连网,把你电脑上wmsetup.dll删除掉,
c:\windows\temp\
C:\Documents and Settings\NetworkService\Local Settings\Temp
这两目录里面有时也会有,没有找到就不管它,证明已经给清除掉了。
然后去
C:\WINDOWS\AppPatch
目录下删除
jview.dll如果没有就不理它。
然后在这目录下新建一个文件夹改名为jview.dll
再打开金山清理专家,下载地址是:http://www.duba.net/qing/
点病毒木马防杀,再点展开出来的网页安全防护
附件: 您所在的用户组无法下载或查看附件
(如果是刚安装的,还要点下方的安装启用)再点击右边的反钓鱼设置,阻止的网址再点右边的+添加规则,
输入*root.51113.com* (这是阻止连接带有输入内容的所有网址)
附件: 您所在的用户组无法下载或查看附件
确定
再点网页防挂马设置
点阻止列表
再点右上角的+添加
直接输入如下内容
c:\docume~1\admini~1\locals~1\temp\qq_update.cab再点确定
关掉清理专家,连上网线,就不怕再有这类木马占用你的电脑了
zhangwuji156 2008-08-22
- 打赏
- 举报
大家都是程序员,反汇编一下,看看它和哪个程序关联的,怎么关联的,或者是系统进程
jinyede 2008-08-21
- 打赏
- 举报
回帖是一种美德
jinyede 2008-08-19
- 打赏
- 举报
哈哈...我路过..
jinjinlyw 2008-08-06
- 打赏
- 举报
Trojan.koWin 木马
C:\WINDOWS\TEMP\FIXFINAL2.DLL
又出现这个
C:\WINDOWS\TEMP\FIXFINAL2.DLL
又出现这个
jinjinlyw 2008-08-06
- 打赏
- 举报
C:\WINDOWS\FONTS\FRAMDEE.TTF
HKEY_CLASSES_ROOT,CLSID\{DA191DE0-AA86-4ED0-4B87-293D48B2AE99}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\CLSID\{DA191DE0-AA86-4ED0-4B87-293D48B2AE99}
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD,MSNMSG
C:\WINDOWS\SYSTEM32\SQUALLE.DLL
C:\WINDOWS\UPDATE.DLL
还有这个
HKEY_CLASSES_ROOT,CLSID\{DA191DE0-AA86-4ED0-4B87-293D48B2AE99}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\CLSID\{DA191DE0-AA86-4ED0-4B87-293D48B2AE99}
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD,MSNMSG
C:\WINDOWS\SYSTEM32\SQUALLE.DLL
C:\WINDOWS\UPDATE.DLL
还有这个
wolfboy226 2008-08-03
- 打赏
- 举报
下载查看文件运行的软件Filemon,开机后关掉一些不必要的软件,特别是防火墙跟杀毒软件,防止干扰.然后打开Filemon(先熟悉下),找到这两个ZYCDEX.DLL,WMSETUP.DLL 杀除后切换到Filemon界面,刷新,看看是那个进程生成那两个dll,找到了后就简单了....
jinjinlyw 2008-08-03
- 打赏
- 举报
这个是个新病毒,它自己会从网不断下载大量木马病毒的.
coolboy120 2008-08-02
- 打赏
- 举报
在线查杀吧
加载更多回复(22)
