gtq 2008-2-17 23:09
【讨论】“机器狗”病毒
各位,我在前几天中了机器狗病毒。
当时我是通过某软件的扫描才发现的。
我是好奇下载了一个.chm文档。然后执行就发现explorer.exe出错了。
可以通过ctrl+alt+del呼出“任务管理器”。
能上网,不能通过“任务管理器”的“运行”功能启动explorer;
通过procexp这个第三方软件看到,中毒状态下,运行explorer后有这个进程,但该文件被感染,没有任何反应。
不出现任务栏和桌面。只是出现了一个怪进程。
但是能通过“运行”的“浏览”找到并运行杀毒。
症状是,任务栏和桌面不见了。
通过“运行”-“浏览”功能看到,“我的电脑”图标变成白板图标(即一个无关联文件的图标)。
无端端多了两个硬盘分区,是病毒模拟出来的。
小弟的电脑只有3个分区。C盘系统盘、D盘软件盘、E盘光驱。
感染病毒后,病毒会自动对2个硬盘分区进行镜像。多了个F盘(D盘的镜像)、G盘(C盘点镜像)
[attach]1699626066[/attach]
由于一切突然,用了某软件的扫描器就修复了。
没有截主要的几个图,没有提取病毒样品。
但是我给那个软件提供了样品。我无法截获它都提取了什么文件了。
[attach]1699626065[/attach]
噢,对啦。听说这个微x官方还未有补丁。不知道是否真的。
修复后重启系统要扫描硬盘分区错误,连续扫了2次。
第一次扫描完后,自动重启系统。
然后第二次扫描完成就进入系统了。
系统修复成功。大概用了2个小时才找到解决方法。
以上就是小弟的中毒经历。
附上:
机器狗木马病毒介绍:
机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe,并建立一个包含病毒的userinit.exe,随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一
系列反病毒软件和安全工具的键值,使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新,达到躲避查杀与侦测的目的。
机器狗,是一种病毒下载器,它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招,用户的电脑便随时可能感染任何木马、病毒,这些木马病毒会疯狂地盗用用户的隐私资料(如帐号密码、私密文件等),也会破坏操作系统,使用户的机器无法正常运行,它还可以通过内部网络传播、下载U盘病毒和Arp攻击病毒,能引发整个网络的电脑全部自动重启。对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,其破坏力可能会很快会超过熊猫烧香。
机器狗病毒的判断方法:
方法:打开C:\WINDOWS\system32文件夹 (或打开系统对应目录),找到userinit.exe、explorer.exe点击右键查看文件的属性,若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。
(完)
[[i] 本帖最后由 gtq 于 2008-2-17 23:35 编辑 [/i]]
gtq 2008-2-17 23:56
[quote]原帖由 [i]regedit[/i] 于 2008-2-17 23:36 发表 [url=http://itbbs.pcshow.net/redirect.php?goto=findpost&pid=5186429&ptid=350934083][img]http://itbbs.pcshow.net/images/common/back.gif[/img][/url]
360安全卫士有专杀 [/quote]
对,我就是用它的专杀搞定的。
[quote]原帖由 [i]小小龙 [/i]于 2008-2-17 23:39 发表 [url=http://itbbs.pcshow.net/redirect.php?goto=findpost&pid=5186429&ptid=350934083][img]http://itbbs.pcshow.net/images/common/back.gif[/img][/url]
楼主装杀毒软件了吗?[/quote]
我装了小红伞,它没有报啊。所以我才中毒了。好奇心作怪。
City Camel 2008-2-18 09:52
专杀好用啊。
stomachmax 2008-2-18 11:30
360自动打补丁
小小龙 2008-2-18 22:22
小红伞P版一定要开监控,是不是你的红伞设置有问题呀?有样本吗?
国产用费尔杀。还没中过这个毒
Martin1986 2008-2-19 01:17
360上就有专杀,挺好用的
gtq 2008-2-19 19:26
[quote]原帖由 [i]小小龙[/i] 于 2008-2-18 22:22 发表 [url=http://itbbs.pcshow.net/redirect.php?goto=findpost&pid=5188016&ptid=350934083][img]http://itbbs.pcshow.net/images/common/back.gif[/img][/url]
小红伞P版一定要开监控,是不是你的红伞设置有问题呀?有样本吗?
国产用费尔杀。还没中过这个毒 [/quote]
哈哈。可能是我不会用吧。
有些惭愧,我用的就是 小红伞P版。
实时监控打开的。
文件双击打开,不吭一声。
系统就中毒了。
平时它对网页啊、文件监控都很灵敏的。
近2天,小红伞频繁升级文件。估计有机器狗的监控了。为自己之前的中毒默哀。
[[i] 本帖最后由 gtq 于 2008-2-19 19:31 编辑 [/i]]
gtq 2008-2-19 23:56
[quote]原帖由 [i]yyyyyy[/i] 于 2008-2-19 23:11 发表 [url=http://itbbs.pcshow.net/redirect.php?goto=findpost&pid=5189902&ptid=350934083][img]http://itbbs.pcshow.net/images/common/back.gif[/img][/url]
看了后我只想笑。。 [/quote]
我也想笑。苦笑。因为觉得自己防毒意识还是太淡薄了。
莫名其妙的文件,以后不开为妙。呃,呵呵。
yyyyyy 2008-2-21 14:13
楼主误会我的意思了,我并不是笑你。我只对这“机器狗”的名字感到好笑,不知道谁起的。让我想起“机器猫”。