尋找過 W32.Looked.AH 的發病特徵，從 Symantec 的敘述來看，
與 f4050360 的情形大部分都不同，看起來應是 mhp1120 所提的 Bacalid 變種。

產生問題檔案：

由 Dll.dll 自動產生 Downloader

也可能產生以下檔案

感覺上好像就是變種的樣子
變種的話就麻煩了 :flash:
翻了一下有關 Bacalid 變種 的文章
之前好像會改 desktop.ini
現在我這個好像就不是 :stupefy:

報告:
A.C 大大講的產生問題檔案
目前搜尋 沒有檔案 :(

稍微符合的地方是，不明.dll 檔影響 iexplorer.exe 或 explorer.exe，
使其經由 [http:// ]lele.0451.net/gua/3in[REMOVED] 下載惡意程式。

好奇 bj.ezhoo.com 網址內容，查詢之後得到 中意人壽保險有限公司 這個答案。

線上掃瞄完的結果 只有兩個
一個是在掃瞄時 跟之前一樣跳出來的病毒 (已經直接砍了)
另一個是今天掃到 放在隔離區的病毒 (這也砍了)
然後...

還是沒變 :shock: :confused: :cry:
先來去躺了
A.C 大 很晚了 該睡了
謝謝你的資料囉~ :)

現在再外加一個問題
被 http://www.wo265.com 這個網頁綁架 :jolin:
應該是跟之前的問題有關係吧 :confused:

光是這一個URL 就有木馬了，　
它應該是利用 msadco.dll 的嚴重漏洞 (Microsoft 安全性公告 MS06-014)
讓你一瀏覽就隱藏下載 ｈｔｔｐ://www.ezhoo.com/80888/ms.exe
然後這個 ms.exe 就開始肆虐地下載木馬程式，並部署它要的環境．

這個 ms.exe 好像很狡猾，除非能反組譯它，要不然不知道它搞了什麼，
寄給防毒公司不知道有沒有用，

建議你還是先把源頭斷了， *.ezhoo.com 全部擋掉, 然後快去安全性更新．
另外它的javascript 中有寫到一個URL "ｈｔｔｐ://www.k369.com/" ，
不知道是搞啥的，不管它，一樣擋掉．

然後再來想辦法抓毒．

題外話：
要上網就不要用 IE ，
一定要用 IE 就不要逛大陸/色情/地下網站，
一定要用 IE 逛大陸/色情/地下網站，就不要使用 ActiveX．
一定要用 IE + ActiveX 逛大陸/色情/地下網站，就要有當烈士的準備 ．

線上掃瞄抓到的病毒判定也是 W32.Looked.AH ？

剛已經去更新 MS06-014 的檔案
現在還是要等 看狀況怎樣
或者是網頁綁架之類的

而目前我在電腦裡搜尋了 ms.exe 和 3.exe
都沒有找到檔案
不知道是不是他下載完後 自己偷偷換了檔名
因為現在每次開機 那個 win.ini 的檔案還是存在

ps:我也不知道是不是逛網站的原因
因為我電腦開著給他下載 早上起來後 問題就出來了 :jolin:

1.Infected: Trojan-Clicker.HTML.Agent.a
這個是網頁跳出時抓到的 當場被砍
2.Infected: Trojan-Downloader.Win32.Agent.ip
這個放在 Norton AntiVirus\Quarantine\797828B9.exe
諾頓隔離所 之後我也去隔離所砍了他

以下是我自己的想法
一切的一切 都是從那個 win.ini 的檔案開始
他先連出去 然後載了東西回來
而那些東西 引發了現在的一堆病發症
包括一些怪異的木馬 和網頁綁架等

而現在那個檔案
我還是不知道他是怎麼在每次重開機跑出來
之前我有附了三張圖片
那是執行了 msconfig 時的圖片檔
不知道裡面有沒有比較怪異的執行程式
想說 或許可以先從那邊找出來

要不然現在真的不知道該怎麼辦了 :cry:

試試以下操作，

檢查以下機碼，將不知名程序刪除。

執行 msconfig，將所有 svchsot.exe 執行緒關閉，不讓它執行。
將 cookies、temp、Temporary Internet Files 檔的內容全刪除。
完畢之後，再次進行全機掃瞄。

木馬不斷產生的原因似乎在於 svchost.exe 會保護該 不明.dll 檔 ，沒關閉不能刪除。

以提供的圖片看下來，啟動程式似乎都是正常程式。
不過拍漏的最下面的地方。