Devilink - 2010-3-5 16:19:00
看监控日志:
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQWRY.DAT
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQWRY.DAT
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\58208~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\58208~.tmp
删除 C:\WINDOWS\system32\drivers\SmartAVS.sys
修改 C:\Documents and Settings\Administrator\Local Settings\Temp
新建 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf
修改 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf
新建 C:\WINDOWS\system32\drivers\SmartAVS.sys
修改 C:\WINDOWS\system32\drivers\SmartAVS.sys
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\Prefetch\智能杀毒伴侣.EXE-18549DE6.pf
修改 C:\WINDOWS\Prefetch\智能杀毒伴侣.EXE-18549DE6.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\system32\apa.dll
改名 C:\WINDOWS\system32\rpcss.dllH [...]
[...] into C:\WINDOWS\system32\0005d1af.~tp
修改 C:\WINDOWS\system32\0005d1af.~tp
新建 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll@
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\config\system.LOG
修改 C:\WINDOWS\system32\config\system.LOGP
修改 C:\WINDOWS\system32\config\system.LOGP
修改 C:\WINDOWS\system32\config\system.LOGP
修改 C:\WINDOWS\system32\config\system.LOG<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\config\system.LOG
修改 C:\WINDOWS\system32\config\systemP
修改 C:\WINDOWS\system32\config\system.LOG
修改 C:\WINDOWS\system32
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
修改 C:\WINDOWS\system32\config\systemprofile\Cookies
修改 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5
删除 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
修改 C:\WINDOWS\system32\config\default.LOG
修改 C:\WINDOWS\system32\config\default.LOG
修改 C:\WINDOWS\system32\config\default.LOG
新建 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
新建 C:\WINDOWS\temp\5d3e1~.tmp
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
修改 C:\WINDOWS\temp\5d3e1~.tmp
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
修改 C:\WINDOWS\temp
新建 C:\WINDOWS\temp\5d6cf~.tmp
修改 C:\WINDOWS\temp\5d6cf~.tmp
修改 C:\WINDOWS\temp
新建 C:\WINDOWS\Prefetch\5D3E1~.TMP-0A86BE10.pf
修改 C:\WINDOWS\Prefetch\5D3E1~.TMP-0A86BE10.pf
删除 C:\WINDOWS\temp\5d3e1~.tmp
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\temp
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
新建 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32
修改 C:\WINDOWS\system32\apa.dll
删除 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32
新建 C:\WINDOWS\system32\rpcss.dll~404171
总是自动从3322.org下载个~198.exe的木马。如果我想做假体的话需要给哪些个文件做?
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; icafe8)
byxxdrls - 2010-3-5 16:22:00
感染型的,你非系统分区的部分程序被感染了
瑞星应该能杀
networkedition - 2010-3-5 16:27:00
lz用的啥工具监控的:kaka12:
WangAnwu - 2010-3-5 17:44:00
知道了怎么没有说出来与大家分享呀?我都不明白.
Devilink - 2010-3-5 20:11:00
因为病毒是从我U盘的软件里感染的。我从灰鸽子的网站上下了个木马辅助查找器 2005 监控C盘的文件,然后看运行软件后都生成了什么文件。。。:kaka6:
Devilink - 2010-3-5 20:13:00
byxxdrls - 2010-3-5 21:04:00
防潮生生世世 - 2010-3-6 5:01:00
从哪里看出来是3322.org的?
Devilink - 2010-3-6 18:01:00
当然是进IE临时文件夹,里边的exe文件看地址就知道了。
小棉花ZY - 2010-3-6 19:25:00
楼主再具体说说啊,大家分享分享。
zilong1014 - 2010-3-8 21:00:00
我也中了这病毒了。。关键是感染其他分区!染毒的文件又不能删。闹心。瑞星今天才杀。。不过不彻底。
© 2000 - 2025 Rising Corp. Ltd.