科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道详细说明 foxrar.exe 病毒

详细说明 foxrar.exe 病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

今天不小心中了病毒,我在系统进程里发现了一个陌生的进程——foxrar.exe 。在我的 Winnt  emp 目录下生成3万多个扩展名为tmp的文件,大小为0kB,我打开这个文件夹要很久的时间,同时里面还有foxrar.exe,winrar.sys so.dll win2546.exe等。

作者:论坛整理 来源:zdnet网络安全 2008年3月11日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

今天不小心中了病毒,我在系统进程里发现了一个陌生的进程——foxrar.exe 。在我的 Winntemp 目录下生成3万多个扩展名为tmp的文件,大小为0kB,我打开这个文件夹要很久的时间,同时里面还有foxrar.exe,winrar.sys so.dll win2546(数字是随机变的).exe等。

我起初的时候没有注意这个文件,结束进程,删除文件我觉得就OK了。没想到没过多久,它又蹦了出来,如此反复了几次,我决定好好查一下它。在网上搜了一下,有很多人中了这个病毒,呵呵,看来我还是挺时髦的,大家中病毒,我也跟着中。

这个病毒主要有以下几个凶手(我的是2000操作系统):

loadie.exe(c:Program FilesInternet Explorer)

qq.exe(c:Program FilesCommon FilesSystem)

mh.exe(c:Program FilesCommon FilesSystem)

smss.exe(c:WINNT)

MSWDM.EXE(c:WINNTSYSTEM32)

ctfmon.exe(c:WINNT)

这些文件再生成foxrar.exe等那些垃圾文件,同时在进程里调用一个或多个IEXPLORE.EXE,造成系统资源被耗尽。

而且在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下建立一个名为:AutoRun 的键,路径就是c:Program FilesInternet Explorerloadie.exe 。在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 下的 Userinit 键值改为:C:WINNTSYSTEM32Userinit.exe,c:WINNTsmss.exe 。

清楚方法:我想知道谁是真正的凶手了,那问题也就好办了,首先结束所有凶手进程(如果结束不了,进入安全模式再执行以下操作),然后删除所有凶手在注册表里的启动项,接下来就是缉拿真凶,就地处决,世界从此安静了。

判断病毒是否清理干净,只要看看 c:WINNTTemp 或者 c:Documents and Settings用户Local SettingsTemp 下是不是每隔几秒就生成一个tmp文件,如果还有,那么还没有清理干净,如果没了,那就说明我们已经成功的消灭了敌人。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章