EMU618社区

 找回密码
 立即注册
搜索
查看: 7900|回复: 7

[求助] 貌似遇到"熊猫烧香"的变种了...

[复制链接]

签到天数: 2 天

[LV.1]初来乍到

发表于 2007-3-23 21:41:58 | 显示全部楼层 |阅读模式
虽然不确定...

症状:

某些setup.exe(好象是用misexec.exe执行的那些吧)图标由"图1"变成了"图2"那样,一双击后就会感染,然后诺顿就发出警报说某临时文件夹的某几个EXE清除失败了...

暂时其它方面清除比较容易,但是就剩这个图标问题我没解决,看样子是关联到某(伪)NOTEPAD.EXE的,但是我也没搜索到有不正常的家伙多出来...也不知道是不是什么非法调用(调用记事本到底能干什么...)

目前除了不敢点那些已经感染的SETUP.EXE(受害者:FPE2001、金山游侠V...以上是已经解压的安装包)外,其它都正常.
:Q

检查过了,连OFFICE都...没事...其它安装包也没发现相同症状,就是不知道这两个修改器招谁惹谁了...:(

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

签到天数: 2 天

[LV.1]初来乍到

发表于 2007-3-23 22:00:57 | 显示全部楼层
不 是很清楚...图标这东西....还以为LZ来金猪报喜了 :L

签到天数: 2 天

[LV.1]初来乍到

 楼主| 发表于 2007-3-23 22:03:27 | 显示全部楼层

中毒也能报喜?不是吧...

最新情况:
删除后再把新下载解压后的FPE等放回去就行了...
这是什么病毒嘛?这么儿戏...?:L

签到天数: 1 天

[LV.1]初来乍到

发表于 2007-3-23 22:42:50 | 显示全部楼层
估计就一普通木马,也和记事本沾不上边,属于伪装型木马.

至于为什么装成记事本,估计是让你以为它只是个记事本吧.

签到天数: 2 天

[LV.1]初来乍到

 楼主| 发表于 2007-3-23 22:47:17 | 显示全部楼层

不是啦~

原帖由 重生の红狼 于 2007-3-23 22:42 发表
估计就一普通木马,也和记事本沾不上边,属于伪装型木马.

至于为什么装成记事本,估计是让你以为它只是个记事本吧.


因为诺顿之前曾经提示过一个NOTEPAD.EXE清除失败,所以我就以为有某个"异类"咯...可能是用户临时区的吧(我看都不看全清空了)...
之前那个主要是图标被换了,而且一点击该程序就会释放EXE等一大堆东东到临时区存储并运行...当然,关闭后删除它们也没发生什么事.
最后将FPE和金山游侠换了就没异常了,呵呵,所以我还纳闷这些病毒怎么那么容易收拾哪(下载过一份就得了)...:L

签到天数: 1 天

[LV.1]初来乍到

发表于 2007-3-23 22:54:15 | 显示全部楼层
应该只是一个叫NOTEPAD.EXE的木马程序,由于和记事本同名,所以你以为是记事本出问题了.

如果被记事本关联的话,就不会是EXE后缀了.

签到天数: 2 天

[LV.1]初来乍到

 楼主| 发表于 2007-3-23 23:00:28 | 显示全部楼层

确切地说,它不是关联...

所谓的EXE是修改器安装包那个原本正常的EXE,然后被不知道什么改了它的安装执行过程...呵呵...然后本来是安装修改器程序的却变成释放有问题的东西了...那个东西也不知道删了没,总之暂时正常啦.谢谢你的意见,红狼兄.:D

签到天数: 1 天

[LV.1]初来乍到

发表于 2007-3-24 09:58:27 | 显示全部楼层
不知道修改器是否也安装了?如果是,那应该是的被捆绑了.将2个EXE文件捆绑成一个文件.运行该文件时另一个文件(假定木马)也隐藏运行,故被杀软发现.一般情况下被捆绑的文件是很容易被杀毒软件发现的.否则就是直接被掉包了.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|国治模拟精品屋 ( 沪ICP备15012945号-1 )

GMT+8, 2024-12-31 05:40 , Processed in 1.063477 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表