标题: 轩辕有病毒?! [打印本页]
作者:
zwpyly 时间: 2007-12-16 11:51 标题: 轩辕有病毒?!
这两天一上轩辕春秋的论坛诺盾就报毒:
wxptdi.sys
作者:
万死 时间: 2007-12-16 11:57
我也是,一上轩辕就有Trojan.DL.Script.JS.Agent.lvf这个毒
作者:
墨叶 时间: 2007-12-16 12:07
不会吧,我也中了Trojan
问下,用什么可以杀。我用卡巴不能杀。
作者:
shiyong200 时间: 2007-12-16 12:07
同感中,希望各位高层尽快解决
作者:
尚香 时间: 2007-12-16 12:08
俺的卡巴没反应,不过登首页会跳出来一个active-control一小段的提示
作者:
司徒苍月 时间: 2007-12-16 12:58
Java Script下载木马,反映是偶的Web讯雷被打开了。。。。。。。(卸载Web讯雷,换讯雷5后问题解决)
估计是网页内的Java造成的(google广告,友站链接都有可能。。。。)
至于LZ是自己感染了蠕虫导致,解决方法如下:
comrecfg.exe,fat32.sys
wxptdi.sys,sysEventw.cfg
病毒名称: Worm.Win32.Downloader.cg
病毒类型:下载者
命名对照:
瑞星 Trojan.Win32.Mnless.zyt
AVAST Win32:Downloader-RR [Wrm]
行为分析:
增加启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\Explorer\Run "comrepl32"
Type: REG_SZ
Data: C:\windows\system32\com\comrecfg.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PciHardDisk "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\WINDOWS\system32\fat32.sys
修改注册表破坏防火墙等。
连接http://www.68yu.cn/listo.txt读取下载列表,释放和下载以下文件:
c:\Program Files\lsass0.exe
Date: 12-13-2007 1:09 PM
Size: 15,872 bytes
c:\Program Files\lsass1.exe
Date: 12-13-2007 1:09 PM
Size: 19,076 bytes
c:\Program Files\lsass2.exe
Date: 12-13-2007 1:09 PM
Size: 16,176 bytes
c:\Program Files\lsass3.exe
Date: 12-13-2007 1:09 PM
Size: 13,943 bytes
c:\Program Files\lsass4.exe
Date: 12-13-2007 1:09 PM
Size: 16,752 bytes
c:\Program Files\lsass5.exe
Date: 12-13-2007 1:09 PM
Size: 17,212 bytes
c:\Program Files\lsass6.exe
Date: 12-13-2007 1:09 PM
Size: 17,312 bytes
c:\Program Files\lsass7.exe
Date: 12-13-2007 1:09 PM
Size: 16,188 bytes
c:\Program Files\lsass8.exe
Date: 12-13-2007 1:09 PM
Size: 15,920 bytes
c:\Program Files\lsass9.exe
Date: 12-13-2007 1:09 PM
Size: 42,289 bytes
c:\Program Files\lsassa.exe
Date: 12-13-2007 1:09 PM
Size: 30,329 bytes
c:\Program Files\lsassb.exe
Date: 12-13-2007 1:09 PM
Size: 18,900 bytes
c:\Program Files\lsassc.exe
Date: 12-13-2007 1:09 PM
Size: 18,612 bytes
c:\Program Files\lsassd.exe
Date: 12-13-2007 1:09 PM
Size: 16,521 bytes
c:\Program Files\lsasse.exe
Date: 12-13-2007 1:09 PM
Size: 17,003 bytes
c:\Program Files\lsassf.exe
Date: 12-13-2007 1:09 PM
Size: 17,092 bytes
c:\Program Files\lsassh.exe
Date: 12-13-2007 1:09 PM
Size: 52,529 bytes
c:\Program Files\lsassi.exe
Date: 12-13-2007 1:09 PM
Size: 176,813 bytes
c:\Program Files\lsassj.exe
Date: 12-13-2007 1:09 PM
Size: 15,932 bytes
c:\WINDOWS\system32\wxptdi.sys
Date: 12-13-2007 1:09 PM
Size: 77,824 bytes
c:\WINDOWS\system32\Com\comrecfg.exe
Date: 12-13-2007 1:09 PM
Size: 9,216 bytes
c:\WINDOWS\system32\config\sysEventw.cfg
Date: 12-13-2007 1:09 PM
Size: 200 bytes
解决方案:
删除注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "comrepl32"
Type: REG_SZ
Data: C:\windows\system32\com\comrecfg.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PciHardDisk "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\WINDOWS\system32\fat32.sys
用SRENG修复系统设置。
并删除以下文件:
c:\Program Files\lsass0.exe
c:\Program Files\lsass1.exe
c:\Program Files\lsass2.exe
c:\Program Files\lsass3.exe
c:\Program Files\lsass4.exe
c:\Program Files\lsass5.exe
c:\Program Files\lsass6.exe
c:\Program Files\lsass7.exe
c:\Program Files\lsass8.exe
c:\Program Files\lsass9.exe
c:\Program Files\lsassa.exe
c:\Program Files\lsassb.exe
c:\Program Files\lsassc.exe
c:\Program Files\lsassd.exe
c:\Program Files\lsasse.exe
c:\Program Files\lsassf.exe
c:\Program Files\lsassh.exe
c:\Program Files\lsassi.exe
c:\Program Files\lsassj.exe
c:\WINDOWS\system32\wxptdi.sys
c:\WINDOWS\system32\Com\comrecfg.exe
c:\WINDOWS\system32\config\sysEventw.cfg
[ 本帖最后由 司徒苍月 于 2007-12-16 13:01 编辑 ]
作者:
非冰 时间: 2007-12-16 13:07
我上轩辕,我的暴风影音也自动打开了,不知道什么问题,其他坛子都没这问题。
作者:
楓红一刀 时间: 2007-12-16 15:18
我没装Web讯雷,今天上轩辕瑞星还是报病毒
作者:
z19771975 时间: 2007-12-16 15:46
我上首页是自动打开RP
作者:
fengrui19 时间: 2007-12-16 16:04
登录首页自动打开web迅雷,其他现象无。汇报完毕!
作者:
kenan 时间: 2007-12-16 16:53
这个画红线的地址貌似有东东...
图片附件:
93se.jpg (2007-12-16 16:53, 56.25 K) / 该附件被下载次数 96
http://xycq.org.cn/forum/attachment.php?aid=53073
作者:
邓仲华 时间: 2007-12-16 17:37
今日凌晨1点多诺顿报告有病毒,早晨开机后360发现logogo下载器,原因不明ing 刚返回主页,realplarer自动打开,并立即自动关闭
[ 本帖最后由 邓仲华 于 2007-12-16 17:39 编辑 ]
作者:
东方无翼 时间: 2007-12-16 18:09
是同机房的其他机器中了ARP病毒,影响了我们的服务器,正联系服务商解决。
感谢各位坛友提供的信息。
作者:
离忧 时间: 2007-12-17 13:15
Trojan.DL.Script.JS.Agent.lvf
一打开轩辕主页就提示有这个病毒,快快解决吧~
作者:
sj19850117 时间: 2007-12-17 17:34
问题解决了请在鼓区发个告示
作者:
司徒苍月 时间: 2007-12-17 19:03
建议大家上网打开杀毒软件,并卸载WEB讯雷(这dd总是被利用来下载木马),及时更新系统补丁
为方便,XP用户更新,提供微软(简体中文)SP2至07年12月补丁合集下载
http://soft.ylmf.com/downinfo/240.html
ps D版用户注意,请勿安装合集中的Windows正版增值验证工具
作者:
东方无翼 时间: 2007-12-17 23:11
已采取措施消除了首页的病毒。
感谢各位的反馈,并请各位一定做好电脑的安全防护,以免受到病毒木马的侵扰。
作者:
张建昭 时间: 2007-12-18 13:53
我是打开轩辕就发现弹出Realplay,然后就一直报毒,后来知道机器狗变种,重装了
comrecfg.exe,fat32.sys
新变种
[ 本帖最后由 张建昭 于 2007-12-18 13:56 编辑 ]
作者:
长沙明远 时间: 2007-12-18 15:33
要开网业防火墙,我的江民昨天自动关闭轩辕,
我就知道轩辕中毒了!可惜我上不来报下警
作者:
phoenixdaizy 时间: 2007-12-18 16:24
原帖由
张建昭 于 2007-12-18 13:53 发表
我是打开轩辕就发现弹出Realplay,然后就一直报毒,后来知道机器狗变种,重装了
comrecfg.exe,fat32.sys
新变种
同症状.
作者:
马儿快快跑 时间: 2007-12-19 09:28
哎凿,我不小心点击安了
咋解决,我不知到安在哪里了,挨判成盗版了,哪位大大教教我啊,我不是个乖孩子……
| 欢迎光临 轩辕春秋文化论坛 (http://xycq.org.cn/forum/) |
Powered by Discuz! 5.0.0 |