发现一个不断滋生的文件.(最新报告 2008-09-02)
可以正常删除,但删除后在一段时间还会出现....[attach]348206[/attach]
[quote]
最新报告
"病毒"修改后的快捷方式指向程序
[attach]349567[/attach]
正常指向程序
[attach]349568[/attach]
[attach]349569[/attach]
部分上报回复信息
[attach]349570[/attach]
[attach]349571[/attach]
[attach]349572[/attach]
[/quote]
[b][color=red][size=4][color=purple]注:[/color][/size]这些文件会在你打开的程序所在目标文件夹中随机生成一些文件,并修改快捷方式的指向程序.....[/color][/b]
[[i] 本帖最后由 孤独的我 于 2008-9-2 21:03 编辑 [/i]] 那个文件呀? 似乎是木马下载器之类 的 ,很刺眼的Todo
最好全面扫描一下
Ps:断网后也会不断滋生吗?
[[i] 本帖最后由 边缘vip 于 2008-8-31 21:53 编辑 [/i]]
回复 3楼 边缘vip 的帖子
怎么办呢?但系统一切正常 下载windows清理助手清理恶意软件[url]http://www.arswp.com/download.html[/url]
上传sreng日志
回复 5楼 funix 的帖子
[attach]348216[/attach] 日志没看出什么问题,只是有点不理解为什么装网络监视软件和流量监控呢!建议全盘扫描一下,打全系统补丁。 卡巴没反应?
360查不出流氓?
回复 8楼 etly 的帖子
泡在救援区,发现求助者中最多的是安装卡巴,再者就是咖啡和赛门铁克的[:19:]回复 9楼 边缘vip 的帖子
因为大部分人新手都使用卡巴当然楼主除外。。。
还有咖啡和铁克大都是公司职员,也是求援大军的重要组成部分
回复 9楼 边缘vip 的帖子
这不卡饭么... 行为关键,联网 这个TODO在金山很多很多呀,估计只要是桌面上有快捷方式的程序都会被做手脚。全盘检查一下吧。全删干净了应该能解决问题。 只有这个名为 [510674 / 510674]的驱动可疑 但是找不到路径了[:08:] [:08:] 多使用几种杀毒软件,cureit之类的都往上砸吧,再去下载中心找几款绿色的杀软我记得有那种抑制文件生成的软件来着。。。。我去找找
[[i] 本帖最后由 starryin 于 2008-9-1 12:46 编辑 [/i]]
回复 1楼 孤独的我 的帖子
版主MM也搞不定啦![:15:]附件用SOPHOS和AVG扫描都没有发现什么!
在网上搜索到的
[quote]现在金山已经可以查杀了,前两天我也中了这个病毒,但是至今查杀并删除了以后还没有看到什么危害.但是很讨厌就是你每个快捷方式都被改变了...
等杀掉了以后还得从新找那些快捷方士的录像!!
瑞星估计也很快就能更新病毒库并查杀了[/quote]
[url=http://cache.qihoo.com/wenda.php ... tchHtmlsnap&kw=ToDo]http://cache.qihoo.com/wenda.php ... tchHtmlsnap&kw=ToDo[/url]
还有一篇:
[quote]
小猪爸爸不幸遇到了[b]TODO[/b],苦苦挣扎了一天,目前总算貌似暂时好像应该没事了,但原因不详。 其实过程应该说不算太复杂,不知道这样是不是管用。 第一步:在任务管理器中,关闭explorer.exe进程后,再重新加载一下,尽可能的关掉所有的常驻程序; 第二步:打开“开始菜单”中的搜索,在全部硬盘中,搜索“*.exe”文件,并在搜索结果中,打开“描述”栏的显示,然后对“描述”进行排序,找到所有“[b]TODO[/b]”字样的程序,全部删除(放心,这不会造成什么巨大的危害,顶多就是开始菜单中的一些快捷方式无效,需要手动重新指定,再有,就是一定要选中“搜索系统文件夹”、“搜索隐藏的文件和文件夹”、“搜索子文件夹”三个选项,下同); 第三步:乘胜追击,再搜索所有的文件(如果大概可以知道时间范围的话,就可以按照指定的日期范围搜索,可以节省很多时间),然后按照文件名排序,一般来说,如果有6-7个文件名一样,仅扩展名不一样的,就要留意了,如果这些扩展名包括.ini、.bat、.dat、.css、.ocx的话,那么全部选中后,全部删除(比如Japanese.bat、Japanese.ini、Japanese.dat、Japanese.css、Japanese.ocx之类); 第四步:搜索所有的名为clientupdate的文件夹,将之全部删除; 第五步:搜索所有名为Data的文件夹,这个要注意一下,只要这个文件家包含有第三步中所说的那种文件,就全部可以删除,如果还有别的,则有可能是正常的文件,需要鉴别好了再删; 第六步:使用一些工具软件,进行木马、流氓软件等的查杀、清理; 完成上面的所有步骤后,重启下看看,是不是还有漏网之鱼,反复折腾几次,应该就差不多了。 剩下的事情,就是看看开始菜单中,那些快捷方式是不是有需要修改的,重新指定一下程序就OK了(比如,记事本原来的快捷方式指向c:\windows\notepad.exe,则有可能会被改成c:\windows\notepad_Run.exe,而notepad_Run.exe文件已在第二步中被删除了,所以需要再改回c:\windows\notepad.exe)。[img=1,1]http://c.services.spaces.live.com/CollectionWebService/c.gif?cid=-970089389664392&page=RSS%3a+%e9%81%87%e5%88%b0TODO%3a+%3c%e6%96%87%e4%bb%b6%e8%af%b4%e6%98%8e%3e&referrer=[/img][img]http://c.live.com/c.gif?NC=31263&NA=1149&PI=73329&RF=&DI=3919&PS=85545&TP=ibook07.spaces.live.com>1=ibook07[/img]
[/quote]
[url=http://cache.qihoo.com/wenda.php?do=snap&m=8fe68912cd8f10be9f9869dc1ac3f3d4&surl=http%3A%2F%2Fibook07.spaces.live.com%2FBlog%2Fcns%2521FFFC8DB576875778%25217171.entry&act=fetchHtmlsnap&kw=ToDo]http://cache.qihoo.com/wenda.php?do=snap&m=8fe68912cd8f10be9f9869dc1ac3f3d4&surl=http%3A%2F%2Fibook07.spaces.live.com%2FBlog%2Fcns%2521FFFC8DB576875778%25217171.entry&act=fetchHtmlsnap&kw=ToDo[/url]
[[i] 本帖最后由 dxhyshxd 于 2008-9-1 12:34 编辑 [/i]]
附在线扫描结果:
[quote]VirSCAN.org Scanned Report :Scanned time : 2008/09/01 12:40:27 (CST)
Scanner results: 11%的杀软(4/36)报告发现病毒
File Name : a.rar
File Size : 563137 byte
File Type : RAR archive data, v1d, os
MD5 : 0594b063960e6b734e1fafe962e7911f
SHA1 : a4b1cf721ca0e9f76c5bdc3872336f6009c5e19a
Online report : [url=http://virscan.org/report/dabbc711269f9d9fa16d00c2e09c7452.html]http://virscan.org/report/dabbc711269f9d9fa16d00c2e09c7452.html[/url]
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.5.0.22 2008.08.31 2008-08-31 2.67 -
安博士V3 2008.08.30.00 2008.08.30 2008-08-30 0.99 -
[color=red]AntiVir 7.8.1.23 7.0.6.95 2008-08-31 2.23 TR/Agent.wak
[/color]Arcavir 1.0.5 200808311533 2008-08-31 1.32 -
[color=red]AVAST! 3.0.1 080831-0 2008-08-31 0.10 Win32:Trojan-gen {Other}
[/color]AVG 7.5.51.442 270.6.14/1644 2008-08-31 1.64 -
BitDefender 7.60825.1689679 7.20762 2008-09-01 3.04 -
CA (VET) 9.0.0.143 31.6.6057 2008-08-29 3.92 -
ClamAV 0.93.3 8122 2008-08-31 0.30 -
Comodo 2.11 2.0.0.633 2008-08-31 0.48 -
CP Secure 1.1.0.715 2008.09.01 2008-09-01 6.71 -
Dr.Web 4.44.0.9170 2008.08.31 2008-08-31 3.95 -
ewido 4.0.0.2 2008.08.31 2008-08-31 2.47 -
F-Prot 4.4.4.56 20080831 2008-08-31 2.10 -
F-Secure 5.51.6100 2008.08.31.01 2008-08-31 0.17 -
飞塔 2.81-3.11 9.499 2008-09-01 0.56 -
ViRobot 20080829 2008.08.29 2008-08-29 0.41 -
[color=red]Ikarus T3.1.01.34 2008.08.31.71372 2008-08-31 4.04 Trojan.Agent.wak
[/color]江民杀毒 11.0.706 2008.08.31 2008-08-31 1.22 -
卡巴斯基 5.5.10 2008.09.01 2008-09-01 0.15 -
[color=red]金山毒霸 2008.1.14.15 2008.9.1.10 2008-09-01 0.61 Win32.Troj.IAgent.446464[/color]
迈克菲 5.3.00 5373 2008-08-29 2.19 -
Microsoft 1.3807 2008.09.01 2008-09-01 4.52 -
mks_vir 2.01 2008.08.25 2008-08-25 2.82 -
Norman 5.93.01 5.93.00 2008-08-29 4.93 -
熊猫卫士 9.05.01 2008.08.31 2008-08-31 2.95 -
趋势科技 8.700-1004 5.510.03 2008-08-31 0.04 -
Quick Heal 9.50 2008.08.29 2008-08-29 2.16 -
瑞星 20.0 20.59.62.00 2008-08-31 0.94 -
Sophos 2.78.0 4.33 2008-09-01 2.02 -
Sunbelt 3.1.1592.1 2210 2008-08-29 0.54 -
赛门铁克 1.3.0.24 20080831.003 2008-08-31 0.09 -
nProtect 2008-08-29.00 1993388 2008-08-29 3.98 -
The Hacker 6.3.0.6 v00068 2008-08-29 0.47 -
VBA32 3.12.8.4 20080831.1339 2008-08-31 1.87 -
VirusBuster 4.5.11.10 10.86.1/623289 2008-08-31 1.56 -
[/quote]
[[i] 本帖最后由 dxhyshxd 于 2008-9-1 12:47 编辑 [/i]] 用filemon,删除那些文件后不要进行多余操作,看看是哪个进程新建了这些文件 先删除,新建同名文件,属性设为只读,这是对付顽固病毒屡试不爽的办法[:01:]
页:
[1]
2