近来电脑的时间似乎出了点问题,一开机就年份就会变成1987年,时间和日期全都正确。觉得蹊跷,但是仍第一反应是BIOS。
断电重启后进入SETUP选项,发现BIOS时间并没有变,进入Windows后时间才变成1987年。
感觉是中了病毒,但是卡巴7、AVG却不报毒,且在网上下载了改变系统时间病毒的专杀程序,也没有用。
后来经搜索研究,确定此为木马,特征如下:
文件名称:ridiap******.exe(******为格式类似于071205的表示年月的数字,下同)
文件大小:不定(更具网上多个版本对比,发现文件大小并不确定,MD5码也不一样)
DrWeb:Trojan.Hitpop.origin
Microsoft:Trojan:Win32/Agent.NAL
Ikarus:Trojan-Spy.Win32.Agent.pn
加壳方式:Upack V0.36
编写语言:Borland Delphi
病毒类型:后门
断电重启后进入SETUP选项,发现BIOS时间并没有变,进入Windows后时间才变成1987年。
感觉是中了病毒,但是卡巴7、AVG却不报毒,且在网上下载了改变系统时间病毒的专杀程序,也没有用。
后来经搜索研究,确定此为木马,特征如下:
文件名称:ridiap******.exe(******为格式类似于071205的表示年月的数字,下同)
文件大小:不定(更具网上多个版本对比,发现文件大小并不确定,MD5码也不一样)
DrWeb:Trojan.Hitpop.origin
Microsoft:Trojan:Win32/Agent.NAL
Ikarus:Trojan-Spy.Win32.Agent.pn
加壳方式:Upack V0.36
编写语言:Borland Delphi
病毒类型:后门
前段时间,用超级兔子清理王,可以发现电脑里有一个流氓软件,叫Pstar。
可是超级兔子就是无法删除这个流氓软件,近安全模式也没用。
于是在网上搜索准备手动删除,然而从网上搜到的都是一些无实际意义的建议,比如:“按杀毒软件查找出的病毒路径删除。”
最近,终于在海魂的垃圾箱上找到了详细的删除方法。本人稍作整理,发在这里。
[b]软件名称:Pstar(超级兔子命名)
软件性质:流氓软件
感染特点:
可是超级兔子就是无法删除这个流氓软件,近安全模式也没用。
于是在网上搜索准备手动删除,然而从网上搜到的都是一些无实际意义的建议,比如:“按杀毒软件查找出的病毒路径删除。”
最近,终于在海魂的垃圾箱上找到了详细的删除方法。本人稍作整理,发在这里。
[b]软件名称:Pstar(超级兔子命名)
软件性质:流氓软件
感染特点:
本文为原创,转载请注明
最近真是多灾多难,刚刚清理掉了caiyi8,又出来一个Trojan.Win32.Agent.abe!
而且这个木马似乎更顽固。
卡巴斯基能查出来却删不掉,每次都是重启後删除文件,但重启後木马仍在。
在网上搜索Trojan.Win32.Agent.abe却找不到任何结果。
只好自己动手。
以下是自己总结的木马特征。
最新发现:刚刚到网上查了一下Trojan.Win32.Agent.abe这个木马,发现这个木马也是使用随机命名的方式
命名特征:由六位英文字母和两位数字组成。如:nfzors42,uaguju47,zpblra29等等
大家可以根据杀毒软件的查毒结果判断木马文件名。
以下过程中以nfzors42这个名称为例,请各位根据具体情况判断。
病毒类型:木马程序
病毒名称:Trojan.Win32.Agent.abe(卡巴斯基)
感染特征:
最近真是多灾多难,刚刚清理掉了caiyi8,又出来一个Trojan.Win32.Agent.abe!
而且这个木马似乎更顽固。
卡巴斯基能查出来却删不掉,每次都是重启後删除文件,但重启後木马仍在。
在网上搜索Trojan.Win32.Agent.abe却找不到任何结果。
只好自己动手。
以下是自己总结的木马特征。
最新发现:刚刚到网上查了一下Trojan.Win32.Agent.abe这个木马,发现这个木马也是使用随机命名的方式
命名特征:由六位英文字母和两位数字组成。如:nfzors42,uaguju47,zpblra29等等
大家可以根据杀毒软件的查毒结果判断木马文件名。
以下过程中以nfzors42这个名称为例,请各位根据具体情况判断。
病毒类型:木马程序
病毒名称:Trojan.Win32.Agent.abe(卡巴斯基)
感染特征:
本文为原创,转载请注明
前面在杀毒的过程中,有提到caiyi8这个网站,杀完毒后,到网上搜索了一下。
发现这是个相当阴险的广告软件,它采用了随机命名的方法,和SReng等查杀木马软件相似的技术,可以有效地逃过专杀软件。
这么说的原因是在几个人发布的杀毒方法中,进程的名称都不一样。
看到的几种命名方式:
BFD50CF0
6ECC4806
CEB8F732
FB607BCF
……
前面在杀毒的过程中,有提到caiyi8这个网站,杀完毒后,到网上搜索了一下。
发现这是个相当阴险的广告软件,它采用了随机命名的方法,和SReng等查杀木马软件相似的技术,可以有效地逃过专杀软件。
这么说的原因是在几个人发布的杀毒方法中,进程的名称都不一样。
看到的几种命名方式:
BFD50CF0
6ECC4806
CEB8F732
FB607BCF
……
6月30日晚,在家用电脑看电影。看完电影后,感觉电脑有点慢,便热重启。没想到,噩梦就此开始。
重启后,电脑巨卡无比,在任务栏上出现一个奇怪的图标,名称为loging(好像是这个)。
感觉事情不对,CTRL+ALT+DEL调出任务管理器。一分钟后,任务管理器才像舞台拉幕般缓缓出现在桌面上。
在进程里看到许多陌生的执行程序,bind_50201.exe,bind_50099.exe,***setup.exe等等。意识到是中了流氓软件。
紧接着,卡巴斯基开始报告有木马程序和广告程序,可是提示用户处理的窗口却会自动关闭,而且似乎选择的都是跳过或者允许。于是屏幕的右下角开始不停闪烁着卡巴斯基的报告。
重启后,电脑巨卡无比,在任务栏上出现一个奇怪的图标,名称为loging(好像是这个)。
感觉事情不对,CTRL+ALT+DEL调出任务管理器。一分钟后,任务管理器才像舞台拉幕般缓缓出现在桌面上。
在进程里看到许多陌生的执行程序,bind_50201.exe,bind_50099.exe,***setup.exe等等。意识到是中了流氓软件。
紧接着,卡巴斯基开始报告有木马程序和广告程序,可是提示用户处理的窗口却会自动关闭,而且似乎选择的都是跳过或者允许。于是屏幕的右下角开始不停闪烁着卡巴斯基的报告。
最近发现大量的广告引用,其中甚至有errorsafe这类间谍软件的引用,为了提高本博客质量,保护浏览者的计算机安全,从即日起开启引用审核!
8月3日以来,瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒,它们除了有常见的危害之外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒,瑞星公司发布今年首次橙色(二级)警报,并将它们通称为“橙色八月”以提醒广大用户注意防范。
来自瑞星客户服务中心的数据表明,目前感染此系列病毒的人数已经过万,仅8月7日(星期一)9点到12点四个小时,就接到了共5108个有关此类病毒的求助电话。8月5日和6日两天虽然是节假日,但瑞星客服中心仍然接到了大量的用户求助电话、电子邮件等,与上月(7月)同期相比,通过电话求助的数量比上月增加了101.02%,通过电子邮件的求助数量也提高了55.48%,而使用远程专家门诊进行远程救助的用户数量则猛增为原来的167.30%。
瑞星反病毒专家分析认为,导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织,有计划地在各种流行病毒中加载了反杀毒软件的程序,掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒,预计近段时间该类病毒数量还会继续增加。
前几天把U盘借给同学用,拿回来以后,一插到电脑上就会弹出无标题的记事本,当时就感觉不对,可能是病毒或者木马。用卡巴斯基查了一下,有个隐藏的Autorun.exe和其他几个文件。干脆直接把U盘格式化。可是后来每次开机的时候也会弹出记事本,趁着卡巴扫描系统的空闲,上网查了一下:
上个星期帮同学修电脑,症状是开机后不久弹出错误对话框,然后就不能上网了。开始还以为是万恶的3721导致的,可是用超级兔子卸载了以后仍然不能上网。于是就重装了操作系统,(鉴于同学用的是lenovo的电脑,就帮他装了个OEM版)花掉了近一个小时,装完一些常用的软件后就走了。
没想到刚出去没多久,这位同学就打电话给我说又不能上网了,说之前会报错。于是我帮他上网查了一下,是中了魔波病毒,症状和他一模一样:宽带用户上网后报错就不能访问互联网了。于是让他打了个Windows的补丁,终于搞定了。后来了解到病毒在13号集体爆发,有不少人都中了,好在我平时即使打补丁才免过一劫。
后来星期一上学,在厕所里遇见分班前的同学,第一句话就问我你中没中魔波~,当场晕厥,原来魔波的威力这么大,他们还说什么攻击信息是从上海大学发出的,我们学校就在上海大学旁边(上大附中)~当然这也无从考证
没想到刚出去没多久,这位同学就打电话给我说又不能上网了,说之前会报错。于是我帮他上网查了一下,是中了魔波病毒,症状和他一模一样:宽带用户上网后报错就不能访问互联网了。于是让他打了个Windows的补丁,终于搞定了。后来了解到病毒在13号集体爆发,有不少人都中了,好在我平时即使打补丁才免过一劫。
后来星期一上学,在厕所里遇见分班前的同学,第一句话就问我你中没中魔波~,当场晕厥,原来魔波的威力这么大,他们还说什么攻击信息是从上海大学发出的,我们学校就在上海大学旁边(上大附中)~当然这也无从考证
自从上次中了20多个流氓软件并用超级兔子进行清理后,开机的时候就会出现"加载C:\WINDOWS\system32\soundmix.dll 错误,找不到指定莫块"的错误提示,在超级兔子的官方论坛上也看到了相关的求助。
下面是这个进程的详细信息:
进程文件: soundmix 或 soundmix.dll
进程位置: 系统目录
程序名称: Troj_spyware.mix
程序用途: 广告间谍木马病毒
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 该病毒主要通过安装免费软件捆绑感染,病毒修改注册表创建Policies\Explorer\Run/SoundMix项实现自启动。
解决方法:
开始—运行—regedit,
找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
删除里面的soundmix键值
已经亲自试过,有效
下面是这个进程的详细信息:
进程文件: soundmix 或 soundmix.dll
进程位置: 系统目录
程序名称: Troj_spyware.mix
程序用途: 广告间谍木马病毒
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 该病毒主要通过安装免费软件捆绑感染,病毒修改注册表创建Policies\Explorer\Run/SoundMix项实现自启动。
解决方法:
开始—运行—regedit,
找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
删除里面的soundmix键值
已经亲自试过,有效
