新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。

本主题由大版主 networkedition 于 2012-2-23 16:44:57 执行移动主题操作

Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	发表于： 2010-03-06 18:03 \| 只看楼主短消息资料字号：小中大 1楼新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行些软件是我用Au3编写的小东西，不要把毒放它身上，要放到被感染的毒上！！！附感染和没感染的同一软件做对比。。忘了说了症状了：软件运行后，收先从 http://dydns175.3322.org:800/jax.exe下载病毒，还有一个~198.exe 并会在开始菜单的启动项里建立快捷方式。指向regsvr32.exe 而且修改rpcss.dll 杀毒软件已经换过:Norton360、小红伞、卡巴、360杀毒、都检查不出来。下边是监控日志：新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp 删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ 新建 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf 修改 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe 新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2fa83~.tmp 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2fa83~.tmp 新建 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf 修改 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf 删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 删除 C:\WINDOWS\system32\dllcache\rpcss.dll 新建 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 改名 C:\WINDOWS\system32\rpcss.dll [...] [...] into C:\WINDOWS\system32\arpcss.dll 修改 C:\WINDOWS\system32\arpcss.dll 新建 C:\WINDOWS\system32\rpcss.dll 修改 C:\WINDOWS\system32\rpcss.dll 修改 C:\WINDOWS\system32\rpcss.dll 修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\system32\apa.dll 新建 C:\WINDOWS\system32\rpcss.dll~197937 修改 C:\WINDOWS\system32\rpcss.dll~197937 修改 C:\WINDOWS\system32\rpcss.dll~197937 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; icafe8) 附件: 您所在的用户组无法下载或查看附件 Devilink 最后编辑于 2010-03-06 19:13:01
Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	分享到：

德拉克拉健康舞勺狮帖子:248 注册: 2006-12-05 来自:	发表于： 2010-03-06 18:29 \| 短消息资料字号：小中大 2楼回复：谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行已经上报，等分析结果，定期去网站病毒上报查下： =========================== 上报文件成功！查询编号：RS20100306182241687990 为查询文件分析结果，请记录此编号。谢谢您的参与！ ===========================
德拉克拉健康舞勺狮帖子:248 注册: 2006-12-05 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-03-06 18:47 \| 短消息资料字号：小中大 3楼回复：谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行反病毒引擎版本最后更新扫描结果 a-squared 4.5.0.50 2010.03.06 - AhnLab-V3 5.0.0.2 2010.03.05 - AntiVir 8.2.1.180 2010.03.05 SPR/AutoIt.Gen Antiy-AVL 2.0.3.7 2010.03.05 - Authentium 5.2.0.5 2010.03.06 - Avast 4.8.1351.0 2010.03.05 - Avast5 5.0.332.0 2010.03.05 - AVG 9.0.0.787 2010.03.06 Packed.AutoIt BitDefender 7.2 2010.03.06 - CAT-QuickHeal 10.00 2010.03.06 - ClamAV 0.96.0.0-git 2010.03.06 - Comodo 4091 2010.02.28 - DrWeb 5.0.1.12222 2010.03.06 - eSafe 7.0.17.0 2010.03.04 - eTrust-Vet 35.2.7342 2010.03.05 - F-Prot 4.5.1.85 2010.03.05 - F-Secure 9.0.15370.0 2010.03.06 - Fortinet 4.0.14.0 2010.03.06 - GData 19 2010.03.06 - Ikarus T3.1.1.80.0 2010.03.06 - Jiangmin 13.0.900 2010.03.06 - K7AntiVirus 7.10.990 2010.03.04 - Kaspersky 7.0.0.125 2010.03.06 - McAfee 5911 2010.03.05 - McAfee+Artemis 5911 2010.03.05 - McAfee-GW-Edition 6.8.5 2010.03.06 Riskware.AutoIt.Gen Microsoft 1.5502 2010.03.06 - NOD32 4919 2010.03.05 - Norman 6.04.08 2010.03.06 W32/Obfuscated.F!genr nProtect 2009.1.8.0 2010.03.06 - Panda 10.0.2.2 2010.03.06 - PCTools 7.0.3.5 2010.03.04 - Rising 22.37.05.03 2010.03.06 - Sophos 4.51.0 2010.03.06 - Sunbelt 5767 2010.03.06 - Symantec 20091.2.0.41 2010.03.06 Suspicious.Insight TheHacker 6.5.1.9.222 2010.03.06 - TrendMicro 9.120.0.1004 2010.03.06 - VBA32 3.12.12.2 2010.03.05 - ViRobot 2010.3.5.2214 2010.03.05 - VirusBuster 5.0.27.0 2010.03.05 -
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	发表于： 2010-03-06 19:14 \| 只看楼主短消息资料字号：小中大 4楼回复 3F byxxdrls 的帖子不管用。。。。这个软件是我用Au3编写的。。。不知道怎么染毒的！
Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-03-06 19:27 \| 短消息资料字号：小中大 5楼回复：新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。我的意思是麦咖啡能查出，不知能不能清除病毒，你可以试一下。当然也可以静等瑞星升级
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

念初强壮不惑狮帖子:1021 注册: 2005-07-03 来自:病毒大染缸	发表于： 2010-03-07 02:35 \| 短消息资料字号：小中大 6楼回复：新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。文件已经下载研究，看看病毒能不能被清除吧。感染不是你的错不能修复就是你的不对了遇到问题请附截图和sreng日志
念初强壮不惑狮帖子:1021 注册: 2005-07-03 来自:病毒大染缸

是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰	发表于： 2010-03-07 07:41 \| 短消息资料字号：小中大 7楼回复：新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。 OEP 00416310 008D9683 FFE0 jmp eax 这句跟过去以后dump修复就行了 My Blog
是昔流芳卡卡反病毒小组帖子:646 注册: 2009-05-10 来自:青鸾峰

Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	发表于： 2010-03-07 09:24 \| 只看楼主短消息资料字号：小中大 8楼回复 7F 是昔流芳的帖子这个代码咱看不懂，就是想知道有没有这类的专杀，不知道我硬盘上有多少个文件感染了这个了。。。
Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:

梅罗自信弱冠狮帖子:430 注册: 2010-01-18 来自:永烁星光之地	发表于： 2010-03-07 10:32 \| 短消息资料字号：小中大 9楼回复：新修改:谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行:已经上传日志。你先把下载的相关程序删除，再注册表里相关的键值搜索删除，然后删除system32底下的rpcss.dll把同文件夹下的arpcss.dll文件改名为rpcss.dll 试试天地间那一抹不灭的流光即我
梅罗自信弱冠狮帖子:430 注册: 2010-01-18 来自:永烁星光之地

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2010-03-07 11:26 \| 短消息资料字号：小中大 10楼回复 1F Devilink 的帖子 http://bbs.ikaka.com/showtopic-8698828.aspx
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT