既然是中華吸血鬼的話，那就將特徵貼上來供參考 http://www.kafan.cn/shadu/news/20080626888.html 1.創建一個互斥量：中華吸血鬼2.2 2.刪除SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 3.釋放如下副本或文件： %systemroot%\Tasks\綠化.bat %systemroot%\Tasks\csrss.exe %systemroot%\Tasks\wsock32.dll (3) U盤傳播功能 檢測可移動存儲中是否有autorun.inf文件，如果有將其改名 之後向裡面寫入autorun.inf 創建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夾，在該文件夾內寫入 GHOSTBAK.exe（病毒文件） (8) arp欺騙功能 獲取本機IP地址 然後把所在同網段內的.2~.255的機器作為欺騙對象 由系統目錄下的arps.com執行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 對局域 網內機器進行arp欺騙 (9) 局域網弱密碼猜解傳播 以administrator為用戶名，對局域網中其他機器進行密碼猜解。如果成功則複製到對方 機器的共享的C,D,E,F盤中，以hackshen.exe (13)（此方法十分新穎） 遍歷所有文件夾並且將%systemroot%\Tasks\wsock32.dll 複製到每個文件夾下 當該文件夾下的exe文件的導入表含有wsock32.dll的時候，會首先調用同文件夾下的 wsock32.dll，也就是病毒釋放的文件。此時會從下載 http://www.*******.cn/server.exe（病毒最新版本）並執行！！！ (15) 遍歷非系統分區的html,aspx，htm等文件 寫入iframe代碼 以上黃色標起來的是重點 所以你那邊四台會都出問題應該是區網攻擊或arp攻擊 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86