alisoft下的病毒20090614.exe！！删除后自动生成！ bbs.ikaka.com

无痕雪 - 2009-8-13 21:13:00

开机进程里有wscript.exe，20090614.exe删除后自动生成。在C:\Program Files\Alisoft\20090614目录下，并且还自动运行，访问网络！原来文件是1.3M，运行后变成950K，怀疑捆绑了木马，进程里会有脚本宿主wscript.exe，开机也自动启动。谁知道应该怎么办？附上日志和捆绑的文件及病毒文件。请大家帮帮小菜鸟！！！

附件: SREngLOG20090614.rar

附件: W-P-E冰枫修改版捆绑样本.rar

附件: Alisoft.rar

帅哥阿福 - 2009-8-14 9:23:00

日志查看没可疑进程。

byxxdrls - 2009-8-14 13:45:00

修改Schedule服务的ImagePath
C:\WINDOWS\system32\shed.exe schedule.dll,netsvcs

无痕雪 - 2009-8-14 14:05:00

我找不到这个服务。。。请问在哪找？另外360顽固木马专杀已经把这个禁止自启动了。

byxxdrls - 2009-8-14 14:44:00

用冰刃看这个服务吧。
从别的正常的SP2系统中导出这个服务，再导入到你的电脑中吧。

无痕雪 - 2009-8-14 14:45:00

这个服务的名称叫什么呢？？？？？？？？

无痕雪 - 2009-8-14 14:52:00

暂时找不到其他电脑，是不是这个服务被360删了？？？？

天云一剑 - 2009-8-14 14:54:00

楼主去52WPE问冰枫好了
950K的是WPE本体文件
alisoft
还有ActiveNC.cab是做什么的

可能只是防游戏检测的策略

没有发现恶意行为

无痕雪 - 2009-8-14 14:59:00

我问了冰枫，他也说不清楚，1.3M的文件运行后变成950K，很奇怪！Alisoft.rar里面就是那个20090614.exe文件

天云一剑 - 2009-8-14 15:08:00

他修改的WPE原版是哪里来的
alisoft不是阿里巴巴，就是恶意程序或者流氓程序了

最后读取了两个页面内容
http://ncupdate.9097939.cn/v2010 ... 60b7&from=W-P-E.exe
ActiveNC.cab文件来源不正确
http://ncupdate.lua.cn/v2010/s.p ... 682b&from=W-P-E.exe
网站未备案

无痕雪 - 2009-8-14 15:13:00

我想知道它对系统做了哪些修改呢？？？？？？？？只好再麻烦楼上高诉我了，呵呵

无痕雪 - 2009-8-14 15:13:00

请问您别的系统中这么服务的名字是什么啊？

天云一剑 - 2009-8-14 15:14:00

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\fcovm

但是这不是服务啊

byxxdrls - 2009-8-14 15:37:00

无痕雪 - 2009-8-14 16:30:00

冰枫版WPE对HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\fcovm进行了修改吗？

无痕雪 - 2009-8-15 18:08:00

送佛送到西啊，继续帮助我一下！

天云一剑 - 2009-8-16 19:59:00

总之它没有木马和病毒的行为 :kaka6:

瑞星卡卡安全论坛