名侦探柯南事务所

标题: 访问磁盘时候随机弹出这个画面 [打印本页]

作者: TL 时间: 2008-10-9 20:30
标题: 访问磁盘时候随机弹出这个画面
查杀没有病毒，这个对话框出来后，选择否就自动跳出ie访问file:///C:/DOCUME%7E1/Matrix/LOCALS%7E1/Temp/moz-screenshot-1.jpg一个网站，莫非是恶意软件么

作者: 偵探君 时间: 2008-10-9 21:09
是不是因為系統檔案損壞呢

作者: TL 时间: 2008-10-9 21:13
不是的，肯定是木马了。。。但是无法杀除。。

作者: it_182ste 时间: 2008-10-9 22:18
搜了一下发现不单单是这个版本，还有个内容很类似的
System error:
Your system is infected with dangerous virus!
Note:Strongly recommended to install antispyware programm to clean your system and avoid total crash of your computer.
Click ok to download the antispyware(Recommended)
（话说这两个警告写得还真像真的- -···）
有人用超级兔子（修复IE功能）搞定过，TL可以试试
PS：还看到两个人用360搞定的...OTZ..这年头杀软干什么去了..

作者: TL 时间: 2008-10-10 09:20
３６０无效．．．

作者: tmkn2007 时间: 2008-10-10 12:48
这个是伪AntiSpyware...

出现这个对话框时到360看一下这个进程属于哪个文件的，结束这个进程后把文件删除。

作者: TL 时间: 2008-10-10 19:31
一、“间谍木马”（Trojan-Dropper.Win32.Agent.xqr）威胁级别：★★★★ 8J<$'M51j
该病毒为木马类病毒，病毒运行后，查找%Systme32%目录下的lsystipl64.dll（随机病毒名）c.ico、m.ico、s.ico文件将其删除，并创建2个同名文件到该目录下，创建regsvr32.exe进程加载病毒DLL文件，添加注册表启动项，创建VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件到桌面，设置URL地址，url快捷方式文件的图标分别设置为指定的%Systme32%下的c.ico、 m.ico、s.ico图标文件，将VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件添加到收藏夹内，将病毒文件lsystipl64.dll注入到Explorer.exe进程中，调用函数连接网络打开一个网址并下载病毒文件保存到%Systme32%目录下，重命名为：userinit.exe，病毒DLL文件主要行为：当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载，当用户选择“是”则会连接网络下载文件，当用户选择“否”则会弹出一个网页模拟本地磁盘，显示存在的威胁数量并提示用户是否下载扫描器，严重影响用户对本地磁盘的正常浏览。 Eh NQzir@V
eXB,qQ

作者: TL 时间: 2008-10-10 19:32
搞定。。。感谢6楼提供思路

作者: it_182ste 时间: 2008-10-10 23:41
tmkn果然是强银那..

将病毒文件lsystipl64.dll注入到Explorer.exe进程中
话说explorer被注入了那怎么修复- -

作者: tmkn2007 时间: 2008-10-11 07:10
DLL注入了explorer.exe中，结束explorer.exe进程，这个DLL即可删除。

或者用冰刃、狙剑等工具把这个DLL从explorer.exe中卸载即可（当然，大部分时候，卸载了任意DLL，进程也会出错而退出）。

作者: TL 时间: 2008-10-11 10:46
安全模式下就没有被注入了。。。

作者: it_182ste 时间: 2008-10-11 21:18

原帖由 tmkn2007 于 2008-10-11 07:10 发表
DLL注入了explorer.exe中，结束explorer.exe进程，这个DLL即可删除。

或者用冰刃、狙剑等工具把这个DLL从explorer.exe中卸载即可（当然，大部分时候，卸载了任意DLL，进程也会出错而退出）。 ...

承教!
那么有没有可能对explorer进行修改呢？如果修改explorer不是就要重装了

作者: tmkn2007 时间: 2008-10-11 21:49

原帖由 it_182ste 于 2008-10-11 21:18 发表

承教!
那么有没有可能对explorer进行修改呢？如果修改explorer不是就要重装了

如果这样微软就不用活了（除了小白用户） - -b

把explorer.exe删除掉，重新下载一个并放到原位置。

作者: it_182ste 时间: 2008-10-11 23:58

原帖由 tmkn2007 于 2008-10-11 21:49 发表

如果这样微软就不用活了（除了小白用户） - -b

把explorer.exe删除掉，重新下载一个并放到原位置。

噢噢..我傻了..开IE灭explorer下到C就不会冲突了...
谢!

欢迎光临名侦探柯南事务所 (https://bbs.aptx.cn/)