这个病毒似乎和 ymx_tt  介绍的磁碟机变种差不多。但又似乎不是。因为它多出了几个文件。我 的电脑没有安装虚拟机，所以不能分析，就留给各位牛人分析了。
病毒路径也是在C:\Windows\system32\Com\下

感染的原文件我删除了，只留下似乎是病毒释放的几个文件：
dnsq.dll
SMSS.EXE
LSASS.EXE
netcfg.dll
还有一个C:\WINDOWS\system32\Com\bak目录下的几个文件：
bsxjcgk.exe
gfzq.exe
sxs2.exe

dnsq.dll这个东东真是BT，能插N个进程。。。打开一个插一个。。。。

未命名.JPG (65.27 KB)
dll

2008-1-31 21:18

总文件的大小为：1.6M
好了，
文件地址 http://pickup.mofile.com/1377645601686069  
     或登录Mofile，使用提取码 1377645601686069 提取文件

还有一个问题，虽然病毒被手工杀掉了，但是RISING时实监控的文件监控（其他监控与防御均正常）无法开启，有没有哪个大侠在不重装RISING的情况下，恢复文件监控？？

mofie的广告还真多。。。下载的按钮本人找了半天才找到。解压的密码是；520

仅供研究使用！！！

[ 本帖最后由 lxystc48 于 2008-1-31 21:19 编辑 ]

被感染了吧，杀不了就全格吧……………………

大概被修改了把，用卡巴杀完整一遍，找点回复软件试试

晕 下来看看 ..........................

侧无策文化成了；我看了我看错了kewcl了勘查维拉克茨了；看；lwekcl我

klvlrkelr;kvl;krel;rkvl;krel;vk；乐扣乐扣乐扣乐扣乐扣乐扣来考虑考虑

启吾东疆另外请教断开连接完全万千瓦 我去定位器的权威

雷克萨克雷萨困了就睡康拉德就雷克萨离开克雷萨角度考虑撒旦 两款手机阿呆

山长水阔就喘了口气奇偶奇迹从雷克萨交叉路口傀儡离开吉萨了解撒禄口机场撒快来参加顺利开出就 雷克萨交叉路口时间按此离开旧爱闪存卡 ；lasjclkasjclk爱上  卢卡斯坚持雷克萨坚持雷克萨警察看了吉萨 ；撒坚持雷克萨警察看了金汇大厦禄口机场vlaksjclksajclkasjckjlh 拉丝机材料卡2008年1月28日21:06:06排气温度哦平稳期待来扫描内存

电话计费迪克兰还擅vf第三节课粮食局功率可达数据 ；房地局离开你的思考vn代理商机发vdklsjvldkns；ldkwfwdkflds  独立思考泛利大厦会计分录独守空房 ‘；啊的开发看我饿了法定税率看vsdlkfldskflkf  ；’wdfkwdl‘fwelkflewlf dslkfldskflsdk ；’开发我请客面对 sdkflds飞