Devilink - 2010-3-14 21:55:00
没有高级啊,一会儿编辑。
我下载的杀毒的。。
新建 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
新建 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll@
改名 C:\WINDOWS\system32\rpcss.dllD [...]
[...] into C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32D
修改 C:\WINDOWS\system32\arpcss.dll
新建 C:\WINDOWS\system32\rpcss.dll@
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796
软件运行后,首先从网上下这个http://dydns175.3322.org:800/jax.exe
,然后在下从3322.org上下~198.exe,估计是病毒运行后在临时文件夹生成775kb大小的tmp文件,估计是Dll文件,换成后缀名后是文件名称
BNPSDll.dll,然后在C:\WINDOWS\system32\下生成apa.dll,然后把rpcss.dll修改成arpcss.dll然后开始修改rpcss.dll了,大小跟临时文件夹生成的文件大小一样,也是775kb,并不时生成rpcss.dll~185796这样的文件,大小一样。目前也没有找到能查杀被感染软件的杀毒软件。
防治也很简单,只要在c:\windows\system32生成apa.dll,然后给他拒绝访问,或是这个批处理
md "c:\windows\system32\apa.dll"
attrib +s +h "c:\windows\system32\apa.dll"
md "c:\windows\system32\apa.dll\病毒免疫..\"
只要在pe下,把被感染的rpcss.dll和临时文件里大小为775kb的tmp给删掉,然后用正常的替换了就成。
附件: 病毒.rar
我下载的杀毒的。。
新建 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S7O72BOD\jax[1].exe
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2ce81~.tmp
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
新建 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll@
改名 C:\WINDOWS\system32\rpcss.dllD [...]
[...] into C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32D
修改 C:\WINDOWS\system32\arpcss.dll
新建 C:\WINDOWS\system32\rpcss.dll@
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796
修改 C:\WINDOWS\system32\rpcss.dll~185796
软件运行后,首先从网上下这个http://dydns175.3322.org:800/jax.exe
,然后在下从3322.org上下~198.exe,估计是病毒运行后在临时文件夹生成775kb大小的tmp文件,估计是Dll文件,换成后缀名后是文件名称
BNPSDll.dll,然后在C:\WINDOWS\system32\下生成apa.dll,然后把rpcss.dll修改成arpcss.dll然后开始修改rpcss.dll了,大小跟临时文件夹生成的文件大小一样,也是775kb,并不时生成rpcss.dll~185796这样的文件,大小一样。目前也没有找到能查杀被感染软件的杀毒软件。
防治也很简单,只要在c:\windows\system32生成apa.dll,然后给他拒绝访问,或是这个批处理
md "c:\windows\system32\apa.dll"
attrib +s +h "c:\windows\system32\apa.dll"
md "c:\windows\system32\apa.dll\病毒免疫..\"
只要在pe下,把被感染的rpcss.dll和临时文件里大小为775kb的tmp给删掉,然后用正常的替换了就成。
附件: 病毒.rar