貌似遇到"熊猫烧香"的变种了...

victorstrife

虽然不确定...

症状:

某些setup.exe(好象是用misexec.exe执行的那些吧)图标由"图1"变成了"图2"那样,一双击后就会感染,然后诺顿就发出警报说某临时文件夹的某几个EXE清除失败了...

暂时其它方面清除比较容易,但是就剩这个图标问题我没解决,看样子是关联到某(伪)NOTEPAD.EXE的,但是我也没搜索到有不正常的家伙多出来...也不知道是不是什么非法调用(调用记事本到底能干什么...)

目前除了不敢点那些已经感染的SETUP.EXE(受害者:FPE2001、金山游侠V...以上是已经解压的安装包)外,其它都正常.
:Q

检查过了,连OFFICE都...没事...其它安装包也没发现相同症状,就是不知道这两个修改器招谁惹谁了...:(

海贼猎人

不 是很清楚...图标这东西....还以为LZ来金猪报喜了 :L

victorstrife

最新情况:
删除后再把新下载解压后的FPE等放回去就行了...
这是什么病毒嘛?这么儿戏...?:L

重生の红狼

估计就一普通木马,也和记事本沾不上边,属于伪装型木马.

至于为什么装成记事本,估计是让你以为它只是个记事本吧.

victorstrife

原帖由 重生の红狼 于 2007-3-23 22:42 发表
估计就一普通木马,也和记事本沾不上边,属于伪装型木马.

至于为什么装成记事本,估计是让你以为它只是个记事本吧.

因为诺顿之前曾经提示过一个NOTEPAD.EXE清除失败,所以我就以为有某个"异类"咯...可能是用户临时区的吧(我看都不看全清空了)...
之前那个主要是图标被换了,而且一点击该程序就会释放EXE等一大堆东东到临时区存储并运行...当然,关闭后删除它们也没发生什么事.
最后将FPE和金山游侠换了就没异常了,呵呵,所以我还纳闷这些病毒怎么那么容易收拾哪(下载过一份就得了)...:L

重生の红狼

应该只是一个叫NOTEPAD.EXE的木马程序,由于和记事本同名,所以你以为是记事本出问题了.

如果被记事本关联的话,就不会是EXE后缀了.

victorstrife

所谓的EXE是修改器安装包那个原本正常的EXE,然后被不知道什么改了它的安装执行过程...呵呵...然后本来是安装修改器程序的却变成释放有问题的东西了...那个东西也不知道删了没，总之暂时正常啦.谢谢你的意见,红狼兄.:D

重生の红狼

不知道修改器是否也安装了?如果是,那应该是的被捆绑了.将2个EXE文件捆绑成一个文件.运行该文件时另一个文件(假定木马)也隐藏运行,故被杀软发现.一般情况下被捆绑的文件是很容易被杀毒软件发现的.否则就是直接被掉包了.