瑞星卡卡安全论坛

病毒执行后,瑞重主动防御提示:

文件访问:
      进程名称

文件

C:\WINDOWS\TEMP\VRT26.TMP

C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    C:\WINDOWS\SYSTEM32\SPOOLSV.EXE    C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS


注册表:
C:\WINDOWS\SYSTEM32\WINLOGON.EXE


HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

系统函数控制:
   
试图改写目标程序内存
C:\WINDOWS\SYSTEM32\WINLOGON.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
试图改写目标程序内存
C:\WINDOWS\SYSTEM32\SERVICES.EXE
试图启动远程线程
C:\WINDOWS\SYSTEM32\SERVICES.EXE
试图改写目标程序内存

C:\WINDOWS\SYSTEM32\LSASS.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\LSASS.EXE
试图改写目标程序内存
C:\WINDOWS\SYSTEM32\SVCHOST.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\SVCHOST.EXE

木马行为:
Malicious Code(恶意代码)
活动的进程
C:\WINDOWS\SYSTEM32\CMD.EXE(24140);
C:\WINDOWS\SERVICES.EXE(25036);
C:\WINDOWS\SERVICES.EXE(25060);
C:\WINDOWS\SYSTEM32\CMD.EXE(25212);
C:\WINDOWS\SYSTEM32\CMD.EXE(25220);
C:\WINDOWS\SERVICES.EXE(25788);
C:\WINDOWS\SERVICES.EXE(25824);
C:\WINDOWS\SYSTEM32\CMD.EXE(2
C:\WINDOWS\TEMP\1.EXE;
C:\WINDOWS\SYSTEM32\8.TMP;
C:\WINDOWS\SERVICES.EXE;
C:\WINDOWS\TEMP\0.EXE;


在硬盘C:\windows\system32下生成了如下文件
gjlTDJjl.ini
gjlTDJjl.ini2
nvapps.xml
ljJDTljg.dll
xxywWppP.dll
khfGxxuT.dll


用SRENG2 查看,修改系统服务  增加映像文件

AppMgmt
C: \Windows\temp\VRT26.tmp
AudioSrv
C: \Windows\temp\VRT26.tmp
BITS
C: \Windows\temp\VRT26.tmp


造成系统没有声音,不知应该如何解决,希望高手解答
提供病毒样本和system32下生成的文件



附件: 病毒样本.rar

附件: 生成的病毒文件.rar

sreng日志呢

嗯,解决了  ,修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv 下的 ImagePath  改为
%SystemRoot%\System32\svchost.exe -k netsvcs
然后启动服务,声音就出来了.其它的还得研究研究!
希望瑞星把此类加入病毒库.以免其它朋友中招!