能力值:
( LV2,RANK:10 )
|
-
-
2 楼
好 可 怕 !
|
能力值:
( LV9,RANK:610 )
|
-
-
3 楼
象棋高手来了哇~!
下载来跑跑嘛~!
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
额,这么恐怖
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
就你发布的nat.exe测试了下,结果如下:
直接运行不会蓝屏,也没发现修改分区表和MBR的动作。你机器蓝屏可能是硬件和驱动的原因,因为就一个nat.exe无法重现你机器的情景,可以还有其它文件有关。但我觉得可能性不大,下面就只有一个nat.exe情形下在刚刚装好WinXPSP3的情形下进行说明:
1.运行环境:nat.rar直接解压到桌面上运行。
2.此乃一个广告程序,对计算机系统危害不大,所以前面有造成蓝屏和修改分区表及MBR可能性不大,最多可能会造成网络问题(没有实测),程序会不断向220.181.76.54此IP发送数据,频率比较大,故有影响网速一说。
3.程序启动后会重命名自身为228.tmp并隐藏,在冰刃中可以看到nat.exe的加载启动程序为228.tmp(和nat.exe同一目录,本机为桌面)。
4.会打开几个IE窗口和建立快捷方式就不说了。
5.会在windows目录下面建立vb.ini文件下载楼主说的广告程序,本分内容如下:
exe1=coopen_setup_100201.exe-5.0|http://download.coopen.cn/setup/v5/coopen_setup
_100201.exe
exe2=coopen_setup_100201.exe-7.0|http://download.coopen.cn/setup/v5/coopen_setup
_100201.exe
exe3=pptv(pplive)jixian_113459_s.exe-1.0|http://60.173.10.28:4321/pptv(pplive)ji
xian_113459_s.exe
exe4=YoudaoDict_yibo.exe-3.0|http://codown.youdao.com/cidian/YoudaoDict_yibo.exe
好像是3个广告程序。
6.会建立coopen的启动项,在开始菜单的启动选项里,用冰刃删除此启动项时,冰刃会被关闭,请使用其它工具删除例如狙剑。文件隐藏功能也可以使用狙剑恢复。
7.桌面上烦人的图标结束进程,删除后,用360类的工具清理下就OK了。最后附上此恶意程序运行后的活动行为(例如建立的VB.ini,ad.ini,228.tmp等)。
监视记录.txt
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
真的太可怕了
|
能力值:
( LV9,RANK:180 )
|
-
-
7 楼
太可怕了. 连续2贴100kx, LZ没钱了
|
能力值:
( LV9,RANK:610 )
|
-
-
8 楼
to batcom
感谢您的分析,如果能提供一个解决问题的方案就好了,重装系统都解决不了的问题,用你说的那几个工具能奏效吗?谢谢
to S大
您就别笑话我了,我发誓我不是下载av小电影的时候中毒的。。。S大给个解决方案吧 我快崩溃了都。。。一开机桌面就这样,如图
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
楼主不要抬杠,重装系统不能解决肯定不是nat.exe引起的,上面已经把它的行为描述的很清楚了,再简单说一遍解决方法,结束nat.exe,修复隐藏选项,删除228.tmp(此项应该在和nat.exe同目录下,为重命名文件,具体位置可以用冰刃查看),删除病毒创建的VB.INI,AD.INI,等隐藏文件,删除启动选项里的启动项,删除桌面快捷图标,最后个淘宝图标可手动清理,也可借助360修复清理。
至于楼主重装系统不能解决,我只能说:
1.修复MBR。2.GHO文件是否纯净。3.是否为其它程序原因导致(nat.exe程序危害绝对没那么大)。
|
能力值:
( LV9,RANK:610 )
|
-
-
10 楼
我在想有没有一种可能 这个nat.exe只是那个病毒的冰山一角 厉害的地方不是这个nat.exe nat.exe是只是被创建(下载)出来 做广告的一段程序
我回家修复一下MBR 试试~
ps. 您有没有在虚拟机里运行这个程序 然后用您介绍的方法杀一杀?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
已经试过了,没问题。去动手试试吧,这样猜测,明天早上也解决不了问题
|
能力值:
( LV9,RANK:610 )
|
-
-
12 楼
谢谢 晚上回家试试,电脑不在身边。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
有部电脑也中了此毒,此毒修改了MBR。
|
能力值:
( LV6,RANK:80 )
|
-
-
14 楼
求原始样本
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
楼上的莫撞墙。。。
|
能力值:
( LV9,RANK:610 )
|
-
-
16 楼
进入dos 用下面这个命令修复 mbr
fdisk /mbr 当中有空格
然后重装系统,或者Ghost还原 或者用杀软 都能杀掉这个毒了就
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
我的朋友也中过这样的毒 我把盘都格式化了重装系统还是有那个病毒
分析 :应该是病毒写进引导里面去了
解决方法:重建mbr 我用的是这个方法
如果没错的话这个可能是鬼影病毒 在百度搜一下会有很多专杀工具的
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
有看沒有懂
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
我们公司有一台电脑也中了此毒,病毒很顽固,卡巴斯基防火墙能阻止,但杀不掉。对硬盘重新分区格式化,ghost干净镜像后无效~
准备将此硬盘低格了。。真无奈~~
但愿此病毒不会通过网络传播,不然麻烦可就大了!
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
即使你都杀干净了 重新启动以后过一会仍然还会那样。
因为该病毒改了MBR。用一段恶意程序替换了主引导程序。
去下载BOOTICE这个软件,在系统下运行,恢复一下引导程序,然后杀毒就行了,
或者恢复完以后直接重装系统。问题就会解决。
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
有360解决不了的吗?
|
能力值:
( LV9,RANK:610 )
|
-
-
22 楼
很不幸就是因为装的360才中的此毒。。。360根本检测不到
其他的杀软虽说杀不干净 但还能检测到。
目前没有发现哪个杀软或者专杀能把此毒杀干净的
修复mbr才是王道
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
用fdisk /mbr重建引导区后病毒已清除,看来重新分区对主引导区没有任何影响.
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
这个病毒的地址在这儿,是我准备下载一个拼音汉字表的时候找到的。
http://www.shipuda.com/Admin/WebEditor/ButtonImage/standard/1245345.html
前天,我用百度搜索汉字拼音表的时候找到的第一条就是这个。
一下下来我就知道不是好东西,这种表格本来应该是文本格式的。
但是好奇的心理,让我想看看,按照我以前的经验应该是个什么垃圾的软件吧。
最多修改修改IE的主页,改改注册表能搞定。实在不行我上星期刚做了GHOST容易恢复。
没想到,最后真的低估了这个玩意儿。
这个里面的setup.exe最起码做了下面几个事情。
1.最明显的是安装了几个垃圾软件比如pplive。
2.篡改了IE主页go2000.com.
3.桌面和QuickLaunch里面留了几个快捷方式,删除不掉。
现象和楼主说的基本类似。
首先,反安装这几个垃圾软件,很顺利。
然后,去掉这几个混蛋快捷方式,一去掉,开机又来了。
搞烦了,装360,呼哧呼哧的,几个快捷方式似乎去掉了,但是IE还是被恶意篡改。
就是有这个nat.exe总是开机就被运行,上unlocker,删除,开机蓝屏一阵子,重开机又来了。
上网搜索,看到这个帖子,有底了,竟然会有可能是MBR被感染。
上GHOST,恢复,又来了。
我的是Z61笔记本,不知为何还不能运行fdisk。
还好水货的商家在引导光盘里面带了个DM,重写MBR。
再次GHOST,成功了。
总结一下,可能单纯的这个nat.exe是不会感染MBR引导区的。
但是nat是哪儿来的呢,可能是我之前下载的那个病毒同时感染了MBR。
而这个引导区病毒的目的就是让nat.exe自动运行。
有兴趣的可以去上面这个链接试试这个病毒。
我觉得或许用360杀了一次以后,用光盘引导,
恢复MBR,再开机用360查杀一次应该也能去掉。
但我是不想再玩了。
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
重新分区格式化不会改主引导区的。
我们在以前586时代通常最干净的做法是,
进BIOS,通常有个对硬盘做物理格式化的程序。
格式化半分钟以后,停掉,退出,fdisk重新分区。
安装系统,这个是最安全的。
现在的BIOS里面可能没有低格的程序了,
可以DOS下面用DM低格或者恢复MBR。
然后光盘引导安装系统。
|
|
|