[分享]小H给MM的详细病毒报告

heavy

昨天朋友带了个PLMM来找小H说计算机坏掉了.......
[s:7] 小H当然义不容辞的收下了 [s:5] .发现了166个病毒宠物...... [s:8]
用了2个小时全部清除掉,系统很健康,运行跟飞一样.等待MM来领电脑中.... [s:1]

以下是报告......有相同情况的朋友可以对号入座,相关软件收录在小H的空间里面了
地址:http://heavyrpg.ys168.com
密码和开启密码都是:123456


主要问题:
开机进入系统重起主要是由于病毒文件被卡巴删除后没有清理注册表和启动选项，病毒的动态数据连接
库文件dvtora21.dll被自动加载而找不到该文件所在位置引起系统加载启动文件失败，并重起。
已经清除了病毒 相关信息。

其他问题：1.安全模式下运行可执行程序(.exe或.bat文件)重起问题主要 是由于感染了橙色八月病毒
            该病毒的特征就是屏蔽一切杀毒软件和防火墙.如果手动打开有关杀毒软件会出现杀毒
            软件在屏幕上一闪立刻关闭并重起计算机.有时候伴随弹出MS-DOS窗口.这就是卡巴不能
            使用的原因.已经清除
          2.打开网页或程序时候弹出SE....的MS-DOS窗口,CPU使用莫名奇妙的占用100%,计算机运行
            速度奇慢.主要是由于Virking病毒引起的,已经清除并打了补丁.这是一种蠕虫病毒,嵌入
            所有可执行程序内,特别是QQ.建议在控制面版中的添加/删除程序里面卸载QQ并重新安装
            ,更改QQ密码
          3.在扫描报告文件夹下的EWDIO report文件里面可以找到如下信息
            C:\copy.exe -> Trojan.Copyself : 已清除.
            D:\copy.exe -> Trojan.Copyself : 已清除.
            E:\copy.exe -> Trojan.Copyself : 已清除.
            F:\copy.exe -> Trojan.Copyself : 已清除.
            这些是木马无限复制自身的程序,杀毒软件清除了病毒文件后由copy.exe重新生成病毒文件
            已经清除.
          4.C,D,E,F盘右键第一选项不是"打开",而是"自动播放",导致双击硬盘后无反应并重起
            这是因为硬盘分区目录下有autorun.ini文件,它是由ROSE病毒生成的引导文件,在安全模式
            下不会启动,但是双击硬盘后会被激活,在进程中添加一个名为RUNDLL from 2000....
            (名字太长记不住了,省略号代替)高危险进程并导致重起.已经清除
          5.IE被劫持,在工具栏处添加了20个恶意插件,包括伪装讯雷插件,Flash9 伪装程序插件,
            各种导航网站等.....已经清除.建议:在安装下载的软件时候不要盲目的点击下一步,看
            清每一安装步骤上是否有安装3721,雅虎助手,酷网导航和其他插件的选项.如果有的话将
            前面的勾去掉.
          6.发现某硬盘里面有下载的名为BIND_XXXXX.exe的程序.这是一个恶意程序,不要双击.因为
            该程序不会询问用户是否安装而直接安装并自动从网上下载木马或病毒
            建议:在网上下载软件的时候先看清软件大小是否与需要的软件大小一致(一般下载网页上
            都会标注软件大小或下载后右击选择属性查看大小)如果明显小于所需要的软件那么最好
            删除掉.例如下载金山毒霸(实际是16M)网站上却标注为573K,那么这明显不是我们需要
            的软件.如果下载下来的软件名称和所需要的软件名称不符,那么最好也删除掉.例如需要
            下载EWDIO,下载后安装程序名称却为BIND_*.exe或SETUP.exe
          7.C:\windows\目录下有名为hbDownSetup11的木马,已经清除
            C:\windows\system\目录下有10310.exe木马(开启10310端口的木马)已经清除
          8.修复了被病毒禁用的注册表
          9.桌面病毒特征文件夹里有名为UPDATE.EXE.rs的病毒特征文件,是提取出来的病毒,后缀名
            为.rs不要去掉后缀,参观完后可以删除该文件夹.已经清除
            典型的UPDATE病毒,伪装成系统自动更新程序,可惜所在目录不正确.已经清除
          10.冲击波病毒,(没想到居然还有这么古老的病毒宠物)特征很明显,大大对话框里面写着
             由NT系统引导的RPC服务意外终止,离关机倒记时还有60秒
             恩!60秒足够在开始,运行里面输入shutdown -a了(强制禁止关机)
             已经清除
          11.其它未知蠕虫感染LSASS.EXE,WINlogon.EXE进程,造成系统迟缓.特点是进入系统缓慢
             进入系统后无桌面,等待5-10分钟后桌面出现,CPU占用100%无法运行任何程序,或死机
             已经清除


新安装的软件:1.wopti:清除恶意程序相当不错的选择,能力在兔子之上.最新版的windows优化大师集成
                     目前安装的是最新独立版本
             2.EWDIO:脱壳检测能力很强,能检测出通过MD5加密后杀毒软件检测不出的木马
             3.EQSPY watch:功能很强大的防火墙,对恶意程序的监控能力更出色

建议:除了以上建议外,建议继续使用卡巴.如果没事的话让windows的自动更新启动,并下载最新补丁
     EWDIO软件的自动更新不要打开否则每2小时会自动更新一次,烦死你.一般2-4天手动更新一次
     就行.每次更新完成后都会变为试用版,桌面名为SN的记事本里面有序列号,在软件界面右下角
     有"输入许可代码寻求技术支持"在里面复制序列号并选择确定(确定选项在弹出的对话框的右边,
     不在左边,看清除再点....)

神秘小小仙

EWDIO居然会把文件del。有一些重要文件就受罪了。

瞎炮9wb

传说中的强人heavy  [s:4]

heavy

引用第1楼神秘小小仙于2006-11-26 12:06发表的:
EWDIO居然会把文件del。有一些重要文件就受罪了。

那不是EWDIO的问题,要知道所有的杀毒软件都是直接删除被感染的文件,只是EWDIO会强制删除而已
也不是什么文件都可以删掉 [s:5]