[求助]下载附件解压变exe，百度搜.exe变下载！

gouweicao78

已有一段时日了，平时一般没事，但来事就好一阵子，而且整个局域网别的机器也是如此，不知道是什么病毒，或劫持项。具体描述如下：

症状：

1、下载论坛附件（一般是rar或zip格式），打开，结果附件中不是什么.xls，而是you.exe（前段时间只要出毛病都是变you.exe），今天变成PeerCM.exe。

2、这个症状在下载EH的附件出现时，测试Officefans没有发现问题。

3、为了解问题，百度搜索you.exe之类的，甚至只搜.exe，就出现下面图中现象：即搜索并不出现相关信息的页面，而是出现下载对话框，下载一个s.exe的文件，当然点击取消，瑞星报毒（有时却不报了），病毒名称是：Trojan.Spy.Win32.Agent.dcy 。

因查不到更多相关的资料和清毒的办法，特此发帖求助。

疑问1、如何杀此毒。

疑问2、担心论坛是否被挂毒？因为，我下载FANS附件没问题。希望担心是多余的，因为没看到别的会员提出此问题。

 

gouweicao78

下载附件变成PeerCM.exe，解压后图标是一个安装文件的图标（一般Setup.exe的电脑光盘形状图标），用瑞星（正版，最新病毒库）、avast杀毒，均没有报毒。

andysky

没有遇到过，没建议。

gouweicao78

经测试：在同一台笔记本，用CDMA无线网卡上，没出现此问题，改用宽带就有问题。所以，毛病要么出在局域网、要么出在联通的宽带上。

gouweicao78

QUOTE:

以下是引用一意孤行在2007-8-2 11:11:50的发言：

估计是你的局域网中有人中了ARP病毒。

这类病毒通常都是冒充网关，将内网中的正常连接改向一个病毒所在的连接。

找找这方面的资料吧。

谢谢一意孤行兄，前段时间网络时断时续，我就怀疑是ARP攻击，但不知道怎样快捷地揪出这东西来。

曾在某机器安了“网络执法官”，看不到有什么异常的东西。

另：据查到的关于ARP攻击的现象是“上不了网”、“时常掉线”，而没有找到“将内网中的正常连接改向一个病毒所在的连接”型的，而且，怎么就EH的附件下载会出现这个问题，Fans的不会，这是让我很疑惑的一点。

[此贴子已经被作者于2007-8-2 14:08:36编辑过]

gouweicao78

应该是这个问题了：

局域网全部改手动IP，点开始，运行，cmd，输入：arp -a

得到的Internet Address 按常规应该是1个，即网关，结果发现我的有2个，另一个IP地址是边上的台式机（我的笔记本和一台式机均如此），拔掉该台式机网线，再次：arp -a，这下子台式机显示3个网关，除了正确网关和被拔掉那个外，又出新的网关；而笔记本剩下正确网关。但下载EH的压缩文件打开仍然是PeerCM.exe。

那么是否病毒就在我自己的这台电脑中呢。待查！

还有一个奇怪现象，我用笔记本直接把外网线不经路由器、交换机（脱离局域网），也是如此。或许，我的笔记本才是罪魁祸首。[em04]

那些多余的网关是动态的，可能并非那些机器攻击我，而是我自己的电脑中了毒，不断的更改网关指向。多个网关，1个正确，能“正常上网”，但却在下载东西的时候出问题——怎样才能搞定这些东西呢？用了好几个东西都没杀出啥玩意儿来。

[此贴子已经被作者于2007-8-2 15:24:18编辑过]

lfspecter

http://www.51cto.com/art/200609/31883.htm

http://www.51cto.com/art/200609/31754.htm

1、运行 tracert –d www.163.com 找出作崇的主机IP地址。

2、设置与作崇主机相同的IP，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

gouweicao78

谢谢lfspecter兄

没找到作祟的主机，除了网关，后面都是*号，但现在——症状消失了。并不代表没有毒，而是它暂时不作祟了。郁闷！

lfspecter

偶也是很郁闷。

昨天晚上家里的电脑居然中着了。虽然是裸奔，但中着还是头一次。

手工清除了，还是慢，今早一生气一键恢复了。

gouweicao78

你中的是什么？该不是和我一样的吧？怎么清除呢？