本页主题: 一个奇怪的死机(可能与卡巴有关) 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

0739085
级别: 圣骑士


精华: 0
发帖: 179
威望: 77 点
金钱: 486 静电币
支持度: 1 点
在线时间:190(小时)
注册时间:2004-10-28
最后登录:2021-06-23

 一个奇怪的死机(可能与卡巴有关)

我电脑水平只是菜鸟级。
1。前几天教室的电脑常常出现这样的错误(装的是xp系统):无论是什么光盘,只要插入光驱后再弹出,就会出现提示说:reper.exe(标题)-驱动器F发生错误,请插入光盘后.....后面有三个分别是重试,取消,继续的选项。无论点那一个都会继续弹出这个对话框。如果插一张光盘进去,弹出来后就还会出现这个对话框,只有关机或者重启才能把它关掉。除此之外没有别的故障。
2.星期一,我早上用这台电脑浏览过www.9z9z.com的页面。然后电脑一直是开着的。大概一节课之后速度就变的极慢,鼠标可以控制方向,但是左键失灵。并且不断弹出1中已有的对话框。
3.星期三,用一个滚轮鼠标换下了之前的光电鼠标,失灵现象消失。感觉电脑运行速度似乎变快了一些。
当天晚上我去kaspersky的官方网站上栲了5.383的personal pro版,安装完毕并用了试用一个月的key。然后我把从另一台机器上装的kaspersky personal383(不是pro)上拷了所有c/application data/kaspersky/base下的病毒库文件,并转移至这台电脑的同一个文件夹。在安装过程中扫出viewer.exe 与reper.exe为病毒,删不掉,然后关机。
4.星期四,第一次开机后出现weather bug的loading画面,然后自动重启(不断连续重启)。进入misconfig后把weather bug及无关项关掉(kav.exe未关),再重启若干次后提示:c/windows/system下有文件丢失,请在第一屏下按r..............然后无论按什么键就会自动重启。(不按不会)
5.当天中午,用ghost来对拷。原来机上有c.d.e.f四个盘,现在c.f盘消失掉了。(根本找不到)对拷失败。
现在这个机器只有等着分区后格掉重装,但是我还是不懂怎么会坏的,所以恳请各位高手分析一下原因。我们的生物老师曾经在这台电脑上用u盘拷过东西,在他自己的电脑上立即出现提示reper.exe为病毒。并且在这台电脑上cmd打不开。
pass: 谢谢bbsiver,我的帖子还没写好他就回贴了,又写得这么详细.
[ 此贴被0739085在2005-09-23 11:45重新编辑 ]
Posted: 2005-09-23 11:25 | [楼 主]
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19701 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

reper.exe 是病毒

Quote:
病毒名称:Win32.Troj.Reper 影响系统:Win9x / WinNT 处理时间:
 中文名称:瑞普 病毒类型:木马 威胁级别: ★★
 病毒别名:Trojan.Reper[KV]

病毒行为
该病毒伪装成记事本文件,一旦并运行之后会将自己复制到系统的多个目录中。该病毒运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒每隔2秒左右就将自己加载到注册表的启动项,以使每次开机都运行病毒;病毒还修改文本文件的关联程序指向自身,这样用户每次打开文本文件的时候病毒又悄悄地运行起来。病毒会关闭Windows 任务管理器,注册表编辑器,进程查看器,命令行窗口程序,进程名字中包含字符"进程"、"任务"、"毒"、"木"、"杀"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的进程,这将关闭众多的反病毒软件,大大降低了中毒机器的安全性能,给其他病毒大开方便之门。病毒还激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator",为黑客攻击打开后门。

1.病毒检查当前目录,如果是根目录,就创建Explorer进程,打开当前目录;如果不是根目录,就创建互斥体nothing,防止多个实例同时运行

2.将自身复制为以下文件(路径是硬编码的,如过不存在就释放不成功):
%SystemRoot%\svchost.exe
%System%\N0TEPAD.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.pif
C:\Documents and Settings\<当前用户名>\「开始」菜单\程序\启动\login.pif

修改文件C:\autoexec.bat内容。

并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
reper.exe (该文件是病毒的副本)
autorun.inf

autorun.inf文件的内容为:
[autorun]
open=reper.exe

当用户打开磁盘的时候病毒就自动运行了。

3.修改注册表。
添加启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Services"="%SystemRoot%\svchost.exe"

修改文本文件关联程序为病毒文件:
HKCR\txtfile\shell\open\command\
"默认"="%System%\N0TEPAD.EXE %1"

4.创建两个线程,一个时钟。
1)一个线程用来关闭特定的进程:
regedit.exe
cmd.exe
ntvdm.exe

以及进程名中包含任意任意一下字符串的进程:
"task"
"proc"
"进程"
"prcview.exe"
"任务"
"毒"
"wom"
"木马"
"杀"
"doctor"
"kill"

2)另一个进程用来每2分钟运行一次C:\autoexec.bat。该文件被修改以后运行,将激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator"。

3)设置时钟每隔1200毫秒进行一次复制文件和注册表修改。

后来 在一个blog上找到了专杀的工具,用起来不错 不过要反复点击很多次。
http://blog.blogchina.com/upload/2004-11-28/20041128182930620400.zip





source: http://blog.donews.com/jiji262/archive/2005/05/23/393752.aspx
Posted: 2005-09-23 11:36 | 1 楼
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor