文件夹生出.exe尾巴?原来是MS-DOS.com,fonts.exe,Default.exe,HelpHost.com等做怪1
来源:互联网 发布:手机设置网络使用权限 编辑:程序博客网 时间:2024/04/30 23:09
文件夹生出.exe尾巴?原来是MS-DOS.com,fonts.exe,Default.exe,HelpHost.com等做怪1
endurer 原创
2009-02-23 第1版
最近一位朋友的电脑出现了奇怪的现象:原来明明是一个文件夹,现在却长出了.exe尾巴,变成了一个可执行文件。请偶帮忙看看。
朋友电脑中的C盘使用了“windows小冰箱”来保护,没有安装杀毒软件。
下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块略):
pe_xscan 09-01-08 by Purple Endurer
2009-2-18 17:7:45
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
O4 - HKCU/../RunOnce: []C:/WINDOWS/system32/dllcache/Default.exe
O4 - HKLM/../Run: []C:/WINDOWS/system/KEYBOARD.exe
O4 - HKLM/../RunOnce: []C:/WINDOWS/system32/dllcache/Default.exe
O4 - HKLM/../Policies/Explorer/Run: [sys]C:/WINDOWS/Fonts/Fonts.exe
C:/autorun.inf
/-----
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell/Open/command=MS-DOS.com
Shell/Explore/command=MS-DOS.com
-----/
D:/autorun.inf
/-----
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell/Open/command=MS-DOS.com
Shell/Explore/command=MS-DOS.com
-----/
O26 - IFEO: auto.exe->C:/WINDOWS/system32/drivers/drivers.cab.exe
O26 - IFEO: autorun.exe->C:/WINDOWS/system32/drivers/drivers.cab.exe
O26 - IFEO: autoruns.exe->C:/WINDOWS/system32/drivers/drivers.cab.exe
O26 - IFEO: boot.exe->C:/WINDOWS/Fonts/fonts.exe
O26 - IFEO: ctfmon.exe->C:/WINDOWS/Fonts/Fonts.exe
O26 - IFEO: msconfig.exe->C:/WINDOWS/Media/rndll32.pif
O26 - IFEO: procexp.exe->C:/WINDOWS/pchealth/helpctr/binaries/HelpHost.com
O26 - IFEO: taskmgr.exe->C:/WINDOWS/Fonts/tskmgr.exe
O29 - HKCU-Start Page = hxxp://www2.1616.net/
ScrSave =C:/WINDOWS/pchealth/helpctr/binaries/HelpHost.com| 2009-2-18 11:48:20
下载 Dr.Web CureIt! 全面查杀病毒,结果如下:
=====================================
Dr.Web大蜘蛛反病毒扫描程序 v5.00.2 (5.00.2.02090)
操作系统: Windows XP Professional x86 (Build 2600), Service Pack 3
=====================================
c:/autorun.inf 已被病毒感染 : Win32.HLLW.Autoruner.5194 - 已删除
c:/documents and settings/administrator/local settings/temp/hgu8ynfx.dll 已加壳,方式: ASPACK
c:/ms-dos.com 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/fonts/fonts.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/fonts/tskmgr.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/media/rndll32.pif 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/pchealth/helpctr/binaries/helphost.com 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/system32/dllcache/default.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/system32/drivers/drivers.cab.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/system/keyboard.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
d:/autorun.inf 已被病毒感染 : Win32.HLLW.Autoruner.5194 - 已删除
d:/ms-dos.com 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
=====================================
Dr.Web大蜘蛛反病毒扫描程序 v5.00.2 (5.00.2.02090)
操作系统: Windows XP Professional x86 (Build 2600), Service Pack 3
=====================================
c:/autorun.inf 已被病毒感染 : Win32.HLLW.Autoruner.5194 - 已删除
c:/documents and settings/administrator/local settings/temp/hgu8ynfx.dll 已加壳,方式: ASPACK
c:/ms-dos.com 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/fonts/fonts.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/fonts/tskmgr.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/media/rndll32.pif 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/pchealth/helpctr/binaries/helphost.com 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/system32/dllcache/default.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/system32/drivers/drivers.cab.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
c:/windows/system/keyboard.exe 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
d:/autorun.inf 已被病毒感染 : Win32.HLLW.Autoruner.5194 - 已删除
d:/ms-dos.com 已被病毒感染 : Win32.HLLW.Autoruner.1835 - 已删除
那些由文件夹变成.exe的文件并没有完全补删除,还得手工清理一下。
(未完待续)
- 文件夹生出.exe尾巴?原来是MS-DOS.com,fonts.exe,Default.exe,HelpHost.com等做怪1
- 文件夹生出.exe尾巴?原来是MS-DOS.com,fonts.exe,Default.exe,HelpHost.com等做怪2
- HelpHost.exe
- soso313.cn、dao234.com等劫持浏览器,tlntsvi_1547.exe、ydzyh.exe、scvhost.exe等做怪
- MS Outlook如何安全接收附件,如附件的后缀名为:EXE, COM, JS, VBS等
- EXE service com
- 为exe注册com
- 为exe注册com
- .com和.exe
- 本地EXE COM服务器
- COM---EXE中的服务器
- default.exe
- IE主页被改为http://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1
- com和exe文件结构
- com文件与exe文件
- .com、 .bin、 .exe 的区别
- .com与.exe的区别
- sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jpg.exe等1
- 郑州北车管所上牌全记录
- 浅谈非主流
- 数据结构之应用"栈(Stack)"实现: 解析算术表达式及计算
- JDBC(与Oracle的连接)
- 2月23日,阴,工作忌语
- 文件夹生出.exe尾巴?原来是MS-DOS.com,fonts.exe,Default.exe,HelpHost.com等做怪1
- opencms初步了解
- JS刷新页面总结
- SqlParameter[] 数组使用
- javascript实现treeview无刷新添加和删除节点
- 高可用高性能系统(十二)处理粒度
- 在.net中的事务可以这样写
- testing~~~
- testing~~~