引用:

发现可疑文件：

不久前论坛有反映网镖应用规则里面出现大量文件描述为 TODO的程序规则（注意文件图标 病毒伪装的很到位），当时提取了相应的文件 毒霸不能查杀

引用:

关于病毒的原理的YY：

由于偶没有整到病毒的主体（估计已经自焚了），经过对于用户的一些信息的分析，个人认为此病毒是这样子的，在相应的目录下 查找.lnk 快捷方式，然后通过快捷方式找到相应的程序，提取图标和自身的一些代码组合以后生成病毒体，然后修改快捷方式指向病毒体，于是乎当你点击金山毒霸快捷方式的话其实运行的是病毒的call.exe  导致毒霸报毒或者网镖拦截

引用:

现象：

1  网镖程序规则发现大量文件描述为TODo的程序规则

2  点击桌面快捷方式的时候毒霸报毒，然后快捷方式失效

引用:

解决方案：

1 上传相应的报毒文件以便进一步确认

首先 你可以暂时关闭网络 然后关闭金山毒霸的文件实时监控（就是点击 驻留那个红色盾牌 右键 关闭文件实时监控）
   
然后 打开毒霸主程序  工具-----病毒隔离系统---选择被感染的文件 然后右键还原到  选择一个目录 打包上传到这个帖子里面  建议多传几个 ^_^

2 升级病毒以后全盘杀毒，干掉病毒体（毒霸已经可以查杀）


3 手工修复常用程序的快捷方式（这个链接不好改，常用的就自己修改下吧 其他不常用的就别理他）

引用:

如果遇到这个问题建议反馈下最近有安装什么游戏，什么软件或者访问过什么网站论坛之类的信息有助于问题的定位

[ 本帖最后由 一把锈剑 于 2008-8-30 14:40 编辑 ]

没法上传。一打开中毒的文件夹，独霸就给删了。但是扫描却没有。

把防病毒软件撤了。可以上传了。我把中毒的daemon上传。

[ 本帖最后由 一把锈剑 于 2008-8-28 10:14 编辑 ]

用
KZTechs.COM - System Repair Engineer的结果

引用:

原帖由 KSDB10895582 于 2008-8-28 01:18 发表
把防病毒软件撤了。可以上传了。我把中毒的daemon上传。

我手上的费尔没报，另外请将可疑文件发到样本区。

刚刚在网上搜索了一下越来越多的人中了，不过有很多都是升级了系统补丁，然后又有幻想的游戏（捆绑了c8的），就中的比较多。

病毒文件图标

引用:

原帖由 ll_cf 于 2008-8-28 00:35 发表
刚刚在网上搜索了一下越来越多的人中了，不过有很多都是升级了系统补丁，然后又有幻想的游戏（捆绑了c8的），就中的比较多。

是这样。我也是有幻想游戏。升了级。

都是442368这个病毒。

虽然清除过一次病毒,但是留下如下文件,而且大多数文件夹下都有,只是名字不一样吧了

最近到是 大规模的升级过一次微软的补丁,之前一直没升级过补丁

[ 本帖最后由 KSDB7774276 于 2008-8-28 06:50 编辑 ]

我也是装了不少幻想，也是提示有毒后，就出现这样的情况，想系统还原也不行。传了些隔离系统的资料如下，

压缩包里是空的

好复杂，唉，病毒真是闲着没事干

目前还没有找到源头  寒一下   反映这个问题的比较的多

我中了这个病毒，现在用毒霸杀不干净啊，这个病毒现在整个硬盘都是TODO了

我的总算是干掉了！

引用:

原帖由 vistalong 于 2008-8-30 14:32 发表
目前还没有找到源头  寒一下   反映这个问题的比较的多

不用找了，源头应该就是幻想游戏站！我两台机器都是新装了幻想的游戏才中的！由于病毒会感染所有可执行文件（只要你访问过），在可执行文件名前缀后加上随机字母，同时会在目录里以随机命名的方式生成，相同文件前缀，但后缀不同的４个文件！所以光杀一个exe并不安全！而且病毒的感染应该是在windows目录下面生成explorer*.exe（注：*号为1开始的随机数字）开始的，通过替换默认的EXPLORER来对系统进行感染！不过很奇怪，貌似只感染应用程序的可执行文件！相对于其他目录的可执行文件好像不会感染，估计应该是通过搜索注册表内的软件安装信息来感染的！！！至少我的两台机器都是这样，呵呵，不知道有没有什么彻底的解决办法！

目前来说，不要下载任何幻想游戏站的游戏了！因为中毒了以后我看过安装幻想游戏的目录，原始的执行文件也是打上TODO标记的！不过信息更全！唉，鄙视一下，幻想想收钱明说就是了，没有必要捆绑这种恶意软件，关键还是以病毒的形式进行传播的，太下流了！

其实也许自己太粗心，因为现在的幻想游戏的确和以前不一样了！现在安装后第一次运行幻想游戏还像以前一样，但只要重启后再运行，就会出现很恶心的登录窗口，如果是以窗口形式运行游戏的话就会有右侧的广告栏出现，退出游戏还会有FLASH广告！太……