[求助]怀疑中木马

2006/9/7镜像同步35 回复

最近机器有个怪现象，打开“我的电脑”以后，无论双击哪个盘的图标，系统都会重新打开一个窗口，同时杀毒软件报告：regedit.exe程序试图修改注册表XXX键值，已被拦截。然后我打开硬盘各个分区，发现根目录下多出七个文件：autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh，都是隐藏、系统、只读属性，打开任务管理器，只有一个wscript.exe在运行，机器速度也没有慢多少，不太像欢乐时光。其中autorun.inf文件内容如下： autorun风暴 [autorun] open= shell\open=打开(&O) shell\open\Command=WScript.exe .\autorun.vbs shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=WScript.exe .\autorun.vbs 请教各位大侠，这是怎么一回事？？

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

rebirthatsix机器人#1 · 2006/9/7

把autorun删了,那里面的项目使得你双击驱动盘不是用explore打开,而是用ws那个程序附带脚本运行

PentiumX机器人#2 · 2006/9/7

【在 rebirthatsix 的大作中提到: 】 : 把autorun删了,那里面的项目使得你双击驱动盘不是用explore打开,而是用ws那个程序附带脚本运行我删过了，但是删完之后再次双击分区，就告诉我不能打开，失去autorun.XXX文件。当我重启之后，那七个文件又回来了……

rebirthatsix机器人#3 · 2006/9/7

【在 PentiumX 的大作中提到: 】 : 我删过了，但是删完之后再次双击分区，就告诉我不能打开，失去autorun.XXX文件。当我重启之后，那七个文件又回来了…… 把注册表启动项贴出来

rebirthatsix机器人#4 · 2006/9/7

另外把那个vbs文件传上来

PentiumX机器人#5 · 2006/9/7

该楼内附件没有电脑安全基本知识的人勿下载附件(1.3KB) autorun.vbs

PentiumX机器人#6 · 2006/9/7

这个注册表文件修改了一些键值附件(560B) autorun.reg

rebirthatsix机器人#7 · 2006/9/7

把这个文件找出来 autorun.bat 把这个文件传上来

PentiumX机器人#8 · 2006/9/7

干脆七个文件都给你看看吧我用ewido也没查出什么明堂来～～附件(2.1KB) autorun.rar

rebirthatsix机器人#9 · 2006/9/7

第一步，去注册表项目里把加载在注册表userinit后的autorun.exe给删了然后停止wscript那个进程停止脚本调用然后把这7个文件全部删掉重新启动