芦苇网论坛

病毒名称： Trojan-Downloader.VBS.Psyme.ap 病毒类型： 木马 危害等级： 中 文件长度： 3,143 字节 感染系统： windows 9x 以上版本 开发工具： Visual Basic Script 病毒描述： 　　该脚本被运行后会从网络上下载其他木马程序，病在感染主机上运行。该脚本试图终止某些程序的进程。复制自身到 %system% 目录下。下载 四个病毒到 %system% 目录下。大量修改、新建注册表，加入数十个 iexplore.exe 到系统进程。修改 IE 首页地址。 行为分析： 1 、该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的 进程 2 、病毒运行后，会 从网络上下载四个木马 到感染主机运行。该病毒被下载到 %system% 下，病毒明分别为： dstart.exe 病毒名： Trojan.Win32.Dialer.gd dstart1.exe 病毒名： Trojan-Proxy.Win32.Sobit.e dstart2.exe 病毒名： Trojan.Win32.Dialer.ht dstart3.exe 病毒名： Trojan.Downloader.Win32.Small.rd 修改 %system% system.ini 文件。 3 、修改 IE 设置，首地址被修改为 http://bbs.sejie.com/ 4 、大量修改、新建注册表，举例如下： HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\xp_system 键值 : 字串 : ###C:\WINNT\inet10065\winlogon.exe### HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \RecentDocs\.htm\MRUList 键值 : 字串 : ###a### HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer \FileExts\.htm\OpenWithList\a 键值 : 字串 : ###iexplore.exe### HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Windows NT\CurrentVersion\Windows\run 键值 : 字串 : ###C:\WINNT\inet10065\winlogon.exe### HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer \Main\Error Dlg Displayed On Every Error 键值 : 字串 : ###no### HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions 键值 : 字串 : ###yes### HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open 键值 : 字串 : ###no### HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000\DeviceDesc 键值 : 字串 : ###Remote Access Connection Manager### HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@ 键值 : 字串 : ###C:\WINNT\inet10065\3.00.05.dll### 其中，在如下注册表位置，大量新键键值 HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500 \Software\Microsoft\Internet Explorer\Keywords\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\BAP\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Tracing\RASMAN\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\RasMan\Enum\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\PerfProc\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Fax\Performance\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface \{FD1302BD-4080-11D1-A3AC-00C04FB950DC} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \ContentFilter\Performance\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_RASMAN\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip \Performance\WbemAdapFileTime HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Spooler\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \TapiSrv\Performance\WbemAdapFileSize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RasMan\Parameters\IpOutLowWatermark HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Performance\WbemAdapStatus -------------------------------------------------------------------------------- 清除方案： 1、使用安天木马防线2005+可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置 附： 安天木马防线2005+试用版下载地址: http://www.antiy.com/product/ghostbusters/index.htm 病毒上报信箱: submit@virusview.net 木马防线2005+： 　　木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。 [img]http://images.ruvita.com/fileserver/uploadfile/dvbbs/2006-3/20063301014161869.gif[/img]

病毒怎么还没清掉啊！

已经清除了,你再试试!

我的杀毒软件还是查出有病毒

[quote][b]以下是引用[i]pop101在2006-4-24 12:27:23[/i]的发言：[/b] 我的杀毒软件还是查出有病毒 [/quote]晕!我知道是为什么，可是现在很难修补。以后会好的

现在你当网页维护师啦?

[quote][b]以下是引用[i]pop101在2006-4-27 11:38:49[/i]的发言：[/b] 现在你当网页维护师啦? [/quote]我哪行， 是一个朋友在帮忙

听说你现在已经在老家了？这么爽啊？和女儿玩的开心吗？

[quote][b]以下是引用[i]pop101在2006-4-27 17:38:42[/i]的发言：[/b] 听说你现在已经在老家了？这么爽啊？和女儿玩的开心吗？ [/quote]消息灵通!宝宝长大了，好可爱。。。。如果我和她一起弹钢琴，她会把我的手拨开，必须由她一个人独奏。皮厚吧[em02][em02]

好象现在已经彻底清除了