首页 | 博客群 | 公社 | 专栏 | 论坛 | 图片 | 资讯 | 注册 | 帮助 | 博客联播 | 随机访问
博客代码大全- -| 回首页 | 2008年索引 | - -PQOAL格式下的驱动开发与非PQOAL BSP的区别

【原创】遭遇Worm.Win32.Agent.zlw, Malicious Code(恶意代码)等

关键词病毒    Worm.Win32.Agen    MaliciousCode    漂泊浪子                                          

今天同事说电脑中毒了,重装了好几遍系统还搞不定,心想肯定是在每个分区下有autorun.inf导致。看了一下各分区,果然存在有autorun.inf。文件内容:

[AutoRun]
open=kpjrxxb.exe
shell\open=打开(&O)
shell\open\Command=kpjrxxb.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=kpjrxxb.exe

 

中毒症状:

1、无法安装反病毒软件,无法运行反病毒软件;

2、无法打开任务管理器,打开自动关闭;

3、打开反病毒安装文件所在文件夹,过一段时间自动关闭;

4、无法运行iceSword.exe;

5、无法运行注册表;

6、无法显示隐藏文件和系统隐藏文件;

7、无法进入安全模式。

 

用HIJACKTHIS发现以下可疑项:

O4 - 启动项HKLM\\Run: C:\Program Files\Common Files\System\kfbdgew.exe
O4 - 启动项HKLM\\Run: C:\Program Files\Common Files\Microsoft Shared\jfsayak.exe

O4 - Global Startup: WinPact.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\winpact.exe

O4 - HKLM\..\Policies\Explorer\Run: [Shebe] C:\WINDOWS\system32\vista.exe

 

在各分区下发现可疑文件:

autorun.inf, pagefile.pif, test.exe,kpjrxxb.exe。

 

kpjrxxb.exe 瑞星报为 Worm.Win32.Agent.zlw,

pagefile.pif >> fakeupx 瑞星报为 Malicious Code(恶意代码)。

 

重装系统后,删除各分区下的autorun.inf, pagefile.pif, test.exe,注意:不能用双击打开盘符,必须用资源管理器打开,或者在DOS下删除。

【作者: 漂泊浪子】【访问统计:】【2008年02月24日 星期日 15:15】【注册】【打印

搜索
Google

Trackback

你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=6635375

回复

- 评论人:endurer   2008-02-24 22:09:13  endurer的博客  

看起来像是AV杀手的变种

偶遇到的与此相似:

使用映像劫持,ARP欺骗,autorun.inf等技术的mgemtjk.exe等1
http://endurer.bokee.com/6595295.html

使用映像劫持,ARP欺骗,autorun.inf等技术的mgemtjk.exe等2
http://endurer.bokee.com/6596554.html

- 评论人:漂泊浪子   2008-02-24 17:54:23  漂泊浪子的博客  

【瑞星分析结果】

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:au.txt
不是病毒

2.文件名:kpjrxxb.exe
病毒名:Worm.Win32.Agent.zlw

3.文件名:pagefile.pif
病毒名:Malicious Code

4.文件名:runfile1.txt
不是病毒

5.文件名:test.exe
病毒名:Worm.Win32.DownLoad.gez

6.文件名:vista.exe
病毒名:Worm.Win32.DownLoad.gez

7.文件名:WinPact.exe
病毒名:Worm.Win32.DownLoad.gez

8.文件名:未命名.JPG
不是病毒

您所上报的病毒文件将在瑞星2008的20.32.61版本(瑞星2007的19.63.61版本)中处理解决。

注意:如果您上报的文件损坏或者压缩包有密码保护,会导致我们无法正确分析,请您确认文件正常且压缩包中无密码后再提交。
如有问题,您可以通邮件服务中心与我们联系,详细描述您的问题,并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提 醒:为保证收到您的来信,请勿直接回复本邮件!!!

- 评论人:漂泊浪子   2008-02-24 17:53:11  漂泊浪子的博客  

【瑞星分析结果】

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:au.txt
不是病毒

2.文件名:kpjrxxb.exe
病毒名:Worm.Win32.Agent.zlw

3.文件名:pagefile.pif
病毒名:Malicious Code

4.文件名:runfile1.txt
不是病毒

5.文件名:test.exe
病毒名:Worm.Win32.DownLoad.gez

6.文件名:vista.exe
病毒名:Worm.Win32.DownLoad.gez

7.文件名:WinPact.exe
病毒名:Worm.Win32.DownLoad.gez

8.文件名:未命名.JPG
不是病毒

您所上报的病毒文件将在瑞星2008的20.32.61版本(瑞星2007的19.63.61版本)中处理解决。

注意:如果您上报的文件损坏或者压缩包有密码保护,会导致我们无法正确分析,请您确认文件正常且压缩包中无密码后再提交。
如有问题,您可以通邮件服务中心与我们联系,详细描述您的问题,并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提 醒:为保证收到您的来信,请勿直接回复本邮件!!!
验证码:   
评论内容: