Board logo

标题: 肏,中招了,文件夹变EXE病毒 [打印本页]

作者: 泥沼蟹    时间: 2009-7-22 14:51     标题: 肏,中招了,文件夹变EXE病毒

今天用U盘往我弟的病毒窝里拷文件,再插回自己机上时发现文件夹多了个EXE后缀,好奇就点了。。。。。。结果就中招,TXT文件的运行方式中多了个记事本。。。。。。
作者: 泥沼蟹    时间: 2009-7-22 14:55

用冰刃扫了扫没发现新增进程和服务。。。。。。似乎只篡改了TXT文件的运行方式,如何分辨哪个记事本是假的并删除。。。。。。
作者: 泥沼蟹    时间: 2009-7-22 14:56


作者: 泥沼蟹    时间: 2009-7-22 14:59

那些EXE文件已清除,剩余的文件夹恢复,现在要知道的是怎么咔嚓那个假记事本
作者: 喵喵の狗狗    时间: 2009-7-22 14:59

重装系统,然后上杀毒软件,再检查u盘,半小时搞定
作者: 泥沼蟹    时间: 2009-7-22 15:09

太郁闷了。。。。。。那些EXE删了又来。。。。。。此类病毒的专杀无解,应该是变种。。。。。。
作者: 喵喵の狗狗    时间: 2009-7-22 15:10

所以推荐重装

杀毒永远是劳命伤财,特别是我这种硬盘很大的
作者: 泥沼蟹    时间: 2009-7-22 15:21


既然进程和服务里没有,那么应该就是以隐藏驱动的形式存在,不知道是哪个。。。。。。
作者: 第三帝国元首    时间: 2009-7-22 15:25

全格 = =
作者: 喵喵の狗狗    时间: 2009-7-22 15:32

全格,一了百了
作者: 泥沼蟹    时间: 2009-7-22 15:32     标题: 选择一个EXE文件的查杀结果

a-squared 4.5.0.3 20090721221323 2009-07-21 Virus.Win32.Agent!IK 0.403
AntiVir 8.2.0.222 7.1.5.13 2009-07-22 ADSPY/Agent.hyx 0.390
Arcavir 2009 200907211819 2009-07-21 Adware.Agent.Hyx 0.096
Authentium 5.1.1 200907212205 2009-07-21 - 2.564
AVAST! 4.7.4 090721-0 2009-07-21 Win32:Adware-gen [Adw] 0.043
AVG 8.5.288 270.13.22/2253 2009-07-22 Dropper.Generic.AEJE 0.351
BitDefender 7.81008.3829470 7.26743 2009-07-22 Adware.BHO.WSE 3.454
CA (VET) 9.0.0.143 31.6.6632  2009-07-22 - 5.906
ClamAV 0.95.2 9602 2009-07-22 - 0.197
Comodo 3.10 1729 2009-07-21 - 1.301
CP Secure 1.1.0.715 2009.07.22 2009-07-22 - 11.440
Dr.Web 4.44.0.9170 2009.07.22 2009-07-22 Trojan.MulDrop.32523 5.216
F-Prot 4.4.4.56 20090721 2009-07-21 - 2.827
F-Secure 5.51.6100 2009.07.22.03 2009-07-22 - 0.110
GData 19.6621/19.407 20090722 2009-07-22 - 6.187
Ikarus T3.1.01.64 2009.07.22.73079 2009-07-22 Virus.Win32.Agent 3.538
Microsoft 1.4903 2009.07.22 2009-07-22 TrojanDropper:Win32/Henbang.A 4.850
mks_vir 2.01 2009.07.15 2009-07-15 - 3.269
Norman 6.01.09 6.01.00 2009-07-16 W32/Obfuscated.H3!genr 4.008
nProtect 20090721.02 4877014 2009-07-21 Adware.BHO.WSE 7.136
Quick Heal 10.00 2009.07.21 2009-07-21 AdWare.Agent.oqp (Not a Virus) 1.061
Sophos 2.88.0 4.43 2009-07-22 Troj/Agent-INK 2.922
Sunbelt 5274 5274 2009-07-21 - 1.764
The Hacker 6.3.4.3 v00372 2009-07-21 - 0.793
VBA32 3.12.10.8 20090721.1807 2009-07-21 AdWare.Win32.Agent.hyz 1.788
ViRobot 20090721 2009.07.21 2009-07-21 - 0.452
VirusBuster 4.5.11.10 10.109.6/1824416 2009-07-21 - 2.211
卡巴斯基 5.5.10 2009.07.22 2009-07-22 not-a-virus:AdWare.Win32.Agent.ono 0.086
安博士V3 2009.07.21.06 2009.07.21 2009-07-21 Win-AppCare/Bho.431104 0.866
安天 2.0.18 20090721.2629703 2009-07-21 AdWare/Win32.Agent.hyz[:not_virus] 0.120
江民杀毒 11.0.800 2009.07.22 2009-07-22 TrojanDownloader.Agent.acev 5.234
熊猫卫士 9.05.01 2009.07.21 2009-07-21 Adware/BaiduBar      3.017
瑞星 20.0 21.39.20.00 2009-07-22 AdWare.Win32.Agent.cmd 0.951
赛门铁克 1.3.0.24 20090721.006 2009-07-21 - 0.081
趋势科技 8.700-1004 6.299.00 2009-07-21 WORM_DROPPER.MZU 0.082
迈克菲 5.3.00 5683 2009-07-21 - 3.010
金山毒霸 2009.2.5.15 2009.7.22.14 2009-07-22 Win32.Troj.GuiseFolder.om.431104 0.458
飞塔 2.81-3.120 10.631 2009-07-21 - 0.321
作者: 泥沼蟹    时间: 2009-7-22 15:33

全格。。。。。。我不是十几个硬盘的XX
作者: 泥沼蟹    时间: 2009-7-22 15:47

已经找到该病毒调用的webad.dll等文件了。。。。。。研究怎么咔嚓中。。。。。。
作者: 泥沼蟹    时间: 2009-7-22 16:05

用万能的冰刃把病毒咔嚓掉了,可是隐藏文件夹无法恢复。。。。。。“属性”中隐藏的那个钩是灰的。。。。。。怎么修复万恶的注册表
作者: 第三帝国元首    时间: 2009-7-22 20:10

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
作者: bismarck    时间: 2009-8-2 17:00

围观格盘党
作者: 夏树卡瓦依    时间: 2009-8-2 17:31

格了算了,记得以前写过一个杀毒贴。。。。。
作者: julyd    时间: 2009-8-2 18:22

这么烦。。。不如格了 =- -




欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/) Powered by Discuz! 7.2