作者:三峡在线
前几天,我在访问的一个网站的时候,发现网页自动访问这一地址:http://www.mhkj520.com/wd/0602.htm。于是,我打开网站首页查看源代码,发现:多了如下代码:<i-frame-X-X
src="http://www.mhkj520.com/wd/0602.htm" width="50" height="0">
</i-frame-X-X>。
我以为是这个网站中了木马。但是随后我访问别的网站,查看网页代码,也发现第一排多了如下代码。在其它的电脑上访问这些网站则很正常,无疑,我确定自己的电脑中了病毒。
经过我仔细的查找,我发现在我的启动与进程中多了两个奇怪的进程:rujrmue.exe与
pumthsg.exe
。而且怎么都无法结束这两个进程。同时,所有涉及到安全防护的工具全部不能正常打开了,不仅仅包括瑞星及防火墙,还包括瑞星的网站,QQ的在线杀毒等都打开就会自动关闭。
昨天,在所有的搜索引擎中都无法找到rujrmue.exe与
pumthsg.exe的相关资料。今天,当我再次搜索时,已经发现有三个相关的资料了。所出现的情况与我见的一模一样。大致情况描述如下:
1、它自动修改了你的注册表。无法显示所有文件和文件夹,这样就隐藏了病毒文件。解决办法:运行regedit后,在注册表中找到:找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击Checked键值项,该键值应为1.如果值不为1,改为1即可。
2、显示隐藏文件夹后,发现除系统盘外,每个盘中都分别多了2个文件:autorun.inf
yeyinhi.exe
。这两个文件删除之后自动恢复,还会出现双击盘符不能打开的现象。
3、启动与系统进程多了两个进程:rujrmue.exe
与pumthsg.exe,而且不能结束,结束后马上又会出现。
4、测试发现:电脑使用U盘后,U盘自动感染。拿此U盘在别的电脑上使用,别的电脑也自动感染。
5、所有涉及到安全防护的工具全部不能正常打开了,不仅仅包括瑞星及防火墙,还包括瑞星的网站,QQ的在线杀毒等都打开就会自动关闭。
6、昨天(2007年6月6日)三峡在线在所有的搜索引擎中还搜索不到任何关于yeyinhi.exe
和rujrmue.exe、pumthsg.exe
的信息。今天上午在百度中已经发现相关三条记录。
7、由于存在于D、E、F等其它盘中,格式化C盘系统重新装系统,病毒依然存在。
8、系统进入安全模式就蓝屏死机。无法进行其它相关操作。
9、就目前情况来看yeyinhi.exe
与rujrmue.exe、pumthsg.exe有没有必然的联系?三峡在线还不能完全确定。但肯定三者之间是有关联的。
10、到目前为止,三峡在线还没有找到很理想的解决办法。全盘格式化肯定没有问题,那样做的代价太大。
11、由于是最新病毒,有反病毒的朋友或者公司可以与我联系(联系方式见三峡在线的新浪博客:http://blog.sina.com.cn/sanxiazaixian),我可以提供相关样本与资料。
加载中,请稍候......