1   1  /  1  页   跳转

【原创】艾尼又出变种!

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-29 23:25 | 只看楼主 短消息 资料
字号: 1楼

【原创】艾尼又出变种!

听艾玛说艾尼又出变种咯 找他要了下载地址 看了下

感觉就是这玩意下载的木马越来越多了
文件名:table.exe
Size: 10752 bytes
MD5: D79012607DD9C30A480886DC97E74138
SHA1: 3B177D9D063556C9102AC7452A7637F65D02F08C
CRC32: 1008F376
释放
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE
C:\Windows\svchost.exe(就是记事本)

创建服务HKLM\SYSTEM\CurrentControlSet\Services\Hello World
服务涉及的注册表项目:
HKLM\SYSTEM\ControlSet001\Services\Hello World\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00

14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00

00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00

FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00

00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00

00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\Hello World\Type: 0x00000010
HKLM\SYSTEM\ControlSet001\Services\Hello World\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\Hello World\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\Hello World\ImagePath: "C:\Program Files\Common Files\Microsoft

Shared\Web Folders\MSOSV.EXE"
HKLM\SYSTEM\ControlSet001\Services\Hello World\DisplayName: "局域网通讯协议"
HKLM\SYSTEM\ControlSet001\Services\Hello World\ObjectName: "LocalSystem"


启动C:\Windows\svchost.exe感染文件
启动IE连接59.34.197.169:80下载木马 首先下载一个shift.ini 然后跟据这个配置文件再去下载木马
下载的木马分别为TempA.exe~TempM.exe到C:\Program Files\Common Files\Microsoft Shared\Web Folders文件夹


各个文件释放的木马如下
TempA: C:\WINDOWS\Sysfy3
TempB: C:\WINDOWS\Exprer.exe和C:\WINDOWS\system32\Exprer.dll
TempC: C:\WINDOWS\SysJT3
TempD: C:\WINDOWS\system32\SysJ2
TempE: 临时文件夹下的crasos.exe和LgSy0.dll
TempF: 临时文件夹下的iexpl0re.exe和Msxo0.dll
TempG: C:\WINDOWS\SysSun2
TempH: C:\WINDOWS\system32\nwiztlbb.exe和C:\WINDOWS\system32\nwiztlbb.dll
TempI: C:\WINDOWS\system32\nwizAskTao.exe和C:\WINDOWS\system32\nwizAskTao.dll
TempJ: C:\WINDOWS\Syswl3
TempK: C:\WINDOWS\Syswm7
TempL: C:\WINDOWS\Syssj5
TempM: 临时文件夹下的Servera.exe和Kavs0.dll

修改hosts文件
sreng日志表现如下
启动项目
  <q24d5hrzvmd7s><C:\DOCUME~1\用户名\LOCALS~1\Temp\iexpl0re.exe>  []
    <3tt6buug><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe>  []
    <ie4feh2wwxs1q><C:\DOCUME~1\用户名\LOCALS~1\Temp\Servera.exe>  []
    <fy><C:\WINDOWS\Sysfy3\svchost.exe>  []
    <JT><C:\WINDOWS\SysJT3\svchost.exe>  []
    <J2><C:\WINDOWS\system32\SysJ2\svchost.exe>  []
    <sun><C:\WINDOWS\SysSun2\svchost.exe>  []
    <wl><C:\WINDOWS\Syswl3\svchost.exe>  []
    <wm><C:\WINDOWS\Syswm7\svchost.exe>  []
    <sj><C:\WINDOWS\Syssj5\svchost.exe>  []
<Exprer><C:\WINDOWS\Exprer.exe>  []
    <nwiztlbb><C:\WINDOWS\system32\nwiztlbb.exe>  []
    <nwizAskTao><C:\WINDOWS\system32\nwizAskTao.exe>  []
服务
[局域网通讯协议 / Hello World][Stopped/Auto Start]
  <C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE><N/A>
进程
HOSTS 文件
  [C:\WINDOWS\Sysfy3\Ghook.dll]  [N/A, ]
    [C:\WINDOWS\system32\SysJ2\Ghook.dll]  [N/A, ]
    [C:\WINDOWS\SysJT3\Ghook.dll]  [N/A, ]
    [C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSy0.dll]  [N/A, ]
    [C:\WINDOWS\system32\Exprer.dll]  [N/A, ]
    [C:\WINDOWS\SysSun2\Ghook.dll]  [N/A, ]
    [C:\WINDOWS\Syswm7\Ghook.dll]  [N/A, ]
    [C:\WINDOWS\Syswl3\Ghook.dll]  [N/A, ]
    [C:\WINDOWS\Syssj5\Ghook.dll]  [N/A, ]
    [C:\DOCUME~1\用户名\LOCALS~1\Temp\Kavs0.dll]  [N/A, ]
    [C:\DOCUME~1\用户名\LOCALS~1\Temp\Msxo1.dll]  [N/A, ]
HOSTS 文件
127.0.0.1      localhost
127.0.0.1      mmm.caifu18.net
127.0.0.1      www.18dmm.com
127.0.0.1      d.qbbd.com
127.0.0.1      www.5117music.com
127.0.0.1      www.union123.com
127.0.0.1      www.wu7x.cn
127.0.0.1      www.54699.com
127.0.0.1      www1.6tan.com
127.0.0.1      www2.6tan.com
127.0.0.1      www.97725.com
127.0.0.1      down.97725.com
127.0.0.1      ip.315hack.com
127.0.0.1      ip.54liumang.com
127.0.0.1      www.41ip.com
127.0.0.1      xulao.com
127.0.0.1      www.heixiou.com
127.0.0.1      www.9cyy.com
127.0.0.1      www.hunll.com
127.0.0.1      www.down.hunll.com
127.0.0.1      do.77276.com
127.0.0.1      www.baidulink.com
127.0.0.1      adnx.yygou.cn
127.0.0.1      222.73.220.45
127.0.0.1      www.f5game.com
127.0.0.1      www.guazhan.cn
127.0.0.1      wm,103715.com
127.0.0.1      www.my6688.cn
127.0.0.1      i.96981.com
127.0.0.1      d.77276.com
127.0.0.1      www1.cw988.cn
127.0.0.1      cool.47555.com
127.0.0.1      www.asdwc.com
127.0.0.1      55880.cn
127.0.0.1      61.152.169.234
127.0.0.1      cc.wzxqy.com
127.0.0.1      www.54699.com
127.0.0.1      t.gcuj.com
127.0.0.1      www.puma163.com
127.0.0.1      ceoww.com
127.0.0.1      boolom.com
127.0.0.1      adult-novel.cn
127.0.0.1      ll.chinasese.net
127.0.0.1      www.tellumore.com
127.0.0.1      www.o1wg.com
127.0.0.1      www.qq756.com
127.0.0.1      ll.chinasese.net

清除方法:安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
注意 操作过程中不要点击除系统分区外的exe文件
打开sreng 启动项目  注册表 删除如下项目
  <q24d5hrzvmd7s><C:\DOCUME~1\用户名\LOCALS~1\Temp\iexpl0re.exe>  []
    <3tt6buug><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe>  []
    <ie4feh2wwxs1q><C:\DOCUME~1\用户名\LOCALS~1\Temp\Servera.exe>  []
    <fy><C:\WINDOWS\Sysfy3\svchost.exe>  []
    <JT><C:\WINDOWS\SysJT3\svchost.exe>  []
    <J2><C:\WINDOWS\system32\SysJ2\svchost.exe>  []
    <sun><C:\WINDOWS\SysSun2\svchost.exe>  []
    <wl><C:\WINDOWS\Syswl3\svchost.exe>  []
    <wm><C:\WINDOWS\Syswm7\svchost.exe>  []
    <sj><C:\WINDOWS\Syssj5\svchost.exe>  []
<Exprer><C:\WINDOWS\Exprer.exe>  []
    <nwiztlbb><C:\WINDOWS\system32\nwiztlbb.exe>  []
    <nwizAskTao><C:\WINDOWS\system32\nwizAskTao.exe>  []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
局域网通讯协议 / Hello World

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(

推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\WINDOWS\system32\SysJ2文件夹
C:\WINDOWS\Sysfy3文件夹
C:\WINDOWS\SysJT3文件夹
C:\WINDOWS\Syssj5文件夹
C:\WINDOWS\SysSun2文件夹
C:\WINDOWS\Syswl3文件夹
C:\WINDOWS\Syswm7文件夹
C:\WINDOWS\system32\Exprer.dll
C:\WINDOWS\system32\nwizAskTao.dll
C:\WINDOWS\system32\nwizAskTao.exe
C:\WINDOWS\system32\nwiztlbb.dll
C:\WINDOWS\system32\nwiztlbb.exe
C:\WINDOWS\Exprer.exe
清空 C:\DOCUME~1\用户名\LOCALS~1\Temp

使用反病毒软件全盘扫描修复被感染的exe文件

附件附件:

下载次数:232
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-29 23:25:41
描述:



最后编辑2007-05-31 21:12:31
分享到:
gototop
 
三月学毒
头像
初生襁褓狮
  • 帖子:332
  • 注册: 2007-03-30
  • 来自:
发表于: 2007-04-29 23:38 | 短消息 资料
字号: 2楼

MD5: D79012607DD9C30A480886DC97E74138
SHA1: 3B177D9D063556C9102AC7452A7637F65D02F08C
CRC32: 1008F376
这是什么啊????
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-29 23:42 | 短消息 资料
字号: 3楼

建议置顶。
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2007-04-30 01:31 | 短消息 资料
字号: 4楼

样本,偶也想要个。。。
gototop
 
pubo
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-30
  • 来自:
发表于: 2007-04-30 02:38 | 短消息 资料
字号: 5楼

是阿,偶中的就是这个病毒,老是提示svchost.exe中毒。
我是ADSL的,每次要拨号上网,现在发现一连上网络,打开浏览器,杀毒软件就提示有病毒,然后瑞星杀毒软件就会退出来,我的瑞星已经升到最新的19.20.42了,能杀出来,但是每次上网就会提示中毒,后来都是ewido提示的。用ewido杀完后,发现在游戏盘里面所有*.exe的文件都被感染了,被ewido全删了,可怜我的游戏阿~



红色字部分是接下面那回帖的,字数太多,发不完
操作历史报告:
----------清理恶评软件历史----------

2007-04-30 00:17
清理恶评软件 - aatievv.exe - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - Power - C:\WINDOWS\svchost.exe
清理恶评软件 - GsServer - C:\WINDOWS\svchost.exe
清理恶评软件 - 万能下载器 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - webacc插件 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - 灰鸽子变种0005 - C:\WINDOWS\svchost.exe

2007-04-30 01:41
清理恶评软件 - aatievv.exe - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - LgSy0.dll - C:\DOCUME~1\pubo\LOCALS~1\Temp\LgSy0.dll
清理恶评软件 - Power - C:\WINDOWS\svchost.exe
清理恶评软件 - GsServer - C:\WINDOWS\svchost.exe
清理恶评软件 - 万能下载器 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - Kavs0.dll - C:\DOCUME~1\pubo\LOCALS~1\Temp\Kavs0.dll
清理恶评软件 - webacc插件 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - 灰鸽子变种0005 - C:\WINDOWS\svchost.exe
清理恶评软件 - nwizwows - C:\DOCUME~1\pubo\LOCALS~1\Temp\Servera.exe

  2007-04-30 01:53
清理恶评软件 - LgSy0.dll - C:\DOCUME~1\pubo\LOCALS~1\Temp\LgSy0.dll

2007-04-30 02:05
清理恶评软件 - aatievv.exe - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - Power - C:\WINDOWS\svchost.exe
清理恶评软件 - GsServer - C:\WINDOWS\svchost.exe
清理恶评软件 - 万能下载器 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - webacc插件 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - 灰鸽子变种0005 - C:\WINDOWS\svchost.exe

2007-04-30 02:28
清理恶评软件 - aatievv.exe - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - LgSy0.dll - C:\DOCUME~1\pubo\LOCALS~1\Temp\LgSy0.dll
清理恶评软件 - Power - C:\WINDOWS\svchost.exe
清理恶评软件 - GsServer - C:\WINDOWS\svchost.exe
清理恶评软件 - 万能下载器 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - Kavs0.dll - C:\DOCUME~1\pubo\LOCALS~1\Temp\Kavs0.dll
清理恶评软件 - webacc插件 - C:\WINDOWS\SVCHOST.EXE
清理恶评软件 - 灰鸽子变种0005 - C:\WINDOWS\svchost.exe
清理恶评软件 - nwizwows - C:\DOCUME~1\pubo\LOCALS~1\Temp\Servera.exe

附件附件:

下载次数:203
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-30 2:38:13
描述:
gototop
 
pubo
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-30
  • 来自:
发表于: 2007-04-30 02:53 | 短消息 资料
字号: 6楼

不好意思,发多一贴这是用奇虎360查杀的,不懂是什么意思。麻烦帮忙看一下!谢谢~~!!

诊断时间: 2007-04-30  02:34:35
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存: 2GB - 当前可用内存: 1GB

100 - 未知 - Process: guard.exe [ewido anti-spyware guard] -
100 - 未知 - Process: ewido.exe [ewido anti-spyware] - C:\Program Files\ewido anti-spyware 4.0\ewido.exe
100 - 未知 - Process: svchost.exe [] - C:\WINDOWS\SysSun2\svchost.exe
O1 - 未知 - Host: 127.0.0.1 mmm.caifu18.net
O1 - 未知 - Host: 127.0.0.1 www.18dmm.com
O1 - 未知 - Host: 127.0.0.1 d.qbbd.com
O1 - 未知 - Host: 127.0.0.1 www.5117music.com
O1 - 未知 - Host: 127.0.0.1 www.union123.com
O1 - 未知 - Host: 127.0.0.1 www.wu7x.cn
O1 - 未知 - Host: 127.0.0.1 www.54699.com
O1 - 未知 - Host: 127.0.0.1 www1.6tan.com
O1 - 未知 - Host: 127.0.0.1 www2.6tan.com
O1 - 未知 - Host: 127.0.0.1 www.97725.com
O1 - 未知 - Host: 127.0.0.1 down.97725.com
O1 - 未知 - Host: 127.0.0.1 ip.315hack.com
O1 - 未知 - Host: 127.0.0.1 ip.54liumang.com
O1 - 未知 - Host: 127.0.0.1 www.41ip.com
O1 - 未知 - Host: 127.0.0.1 xulao.com
O1 - 未知 - Host: 127.0.0.1 www.heixiou.com
O1 - 未知 - Host: 127.0.0.1 www.9cyy.com
O1 - 未知 - Host: 127.0.0.1 www.hunll.com
O1 - 未知 - Host: 127.0.0.1 www.down.hunll.com
O1 - 未知 - Host: 127.0.0.1 do.77276.com
O1 - 未知 - Host: 127.0.0.1 www.baidulink.com
O1 - 未知 - Host: 127.0.0.1 adnx.yygou.cn
O1 - 未知 - Host: 127.0.0.1 222.73.220.45
O1 - 未知 - Host: 127.0.0.1 www.f5game.com
O1 - 未知 - Host: 127.0.0.1 www.guazhan.cn
O1 - 未知 - Host: 127.0.0.1 wm,103715.com
O1 - 未知 - Host: 127.0.0.1 www.my6688.cn
O1 - 未知 - Host: 127.0.0.1 i.96981.com
O1 - 未知 - Host: 127.0.0.1 d.77276.com
O1 - 未知 - Host: 127.0.0.1 www1.cw988.cn
O1 - 未知 - Host: 127.0.0.1 cool.47555.com
O1 - 未知 - Host: 127.0.0.1 www.asdwc.com
O1 - 未知 - Host: 127.0.0.1 55880.cn
O1 - 未知 - Host: 127.0.0.1 61.152.169.234
O1 - 未知 - Host: 127.0.0.1 cc.wzxqy.com
O1 - 未知 - Host: 127.0.0.1 www.54699.com
O1 - 未知 - Host: 127.0.0.1 t.gcuj.com
O1 - 未知 - Host: 127.0.0.1 www.puma163.com
O1 - 未知 - Host: 127.0.0.1 ceoww.com
O1 - 未知 - Host: 127.0.0.1 boolom.com
O1 - 未知 - Host: 127.0.0.1 adult-novel.cn
O1 - 未知 - Host: 127.0.0.1 ll.chinasese.net
O1 - 未知 - Host: 127.0.0.1 www.tellumore.com
O1 - 未知 - Host: 127.0.0.1 www.o1wg.com
O1 - 未知 - Host: 127.0.0.1 www.qq756.com
O1 - 未知 - Host: 127.0.0.1 ll.chinasese.net
O4 - 未知 - HKLM\..\Run: [exflashservice] [Easy Flash Service] "C:\Program Files\EPOX\EFS\EZ_FLASH_SERVICE.exe" "5000"
O4 - 未知 - HKLM\..\Run: [SkyTel] [Realtek Voice  Manager] SkyTel.EXE
O4 - 未知 - HKLM\..\Run: [!ewido] [ewido anti-spyware] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - 未知 - HKCU\..\Run: [sun] [] C:\WINDOWS\SysSun2\svchost.exe
O23 - 未知 - Service: Disk Service [Disk Driver Service] - C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE - (not running)
O23 - 未知 - Service: Hello World [局域网通讯协议] - C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE - (not running)

=======================================

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: CCenter.exe [瑞星杀毒软件控制台相关程序。] -
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: RavMonD.exe [瑞星杀毒软件的一部分。] -
100 - 安全 - Process: rfwsrv.exe [瑞星出品的防火墙程序,用于抵御黑客攻击。] -
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: rfwmain.exe [瑞星公司出品的瑞星杀毒软件个人防火墙程序,用于抵御黑客攻击。] - c:\program files\rising\rfw\RfwMain.exe
100 - 安全 - Process: nvsvc32.exe [nvidia driver helper service在nvida显卡驱动中被安装。] - C:\WINDOWS\system32\nvsvc32.exe
100 - 安全 - Process: RTHDCPL.exe [瑞昱出品的声卡相关程序。] - C:\WINDOWS\RTHDCPL.EXE
100 - 安全 - Process: daemon.exe [一款虚拟光驱软件。] - C:\Program Files\DAEMON Tools\daemon.exe
100 - 安全 - Process: RavTask.exe [瑞星出品的杀毒软件相关程序。] -
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: conime.exe [console ime ime输入法控制台软件。] - C:\WINDOWS\system32\conime.exe
100 - 安全 - Process: RavMon.exe [瑞星杀毒软件防火墙。] -
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE
100 - 安全 - Process: jjsvr4.exe [拼音加加输入法相关程序。] - C:\Program Files\jj4\jjsvr4.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k imgsvc
100 - 安全 - Process: RsAgent.exe [瑞星助手是瑞星杀毒软件的一部分。] - C:\Program Files\Rising\Rav\RsAgent.exe
100 - 安全 - Process: agentsvr.exe [是一个ActiveX插件,用于多媒体程序。] - C:\WINDOWS\msagent\AgentSvr.exe -Embedding
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\explorer.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O4 - 安全 - HKLM\..\Run: [RTHDCPL] [realtek声卡特性设置软件相关程序。] RTHDCPL.EXE
O4 - 安全 - HKLM\..\Run: [Alcmtr] [一款声卡相关程序。] ALCMTR.EXE
O4 - 安全 - HKLM\..\Run: [NvCplDaemon] [是NVIDIA显示卡相关动态链接库文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 安全 - HKLM\..\Run: [NvMediaCenter] [是NVidia显示卡相关文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 安全 - HKLM\..\Run: [DAEMON Tools] [一款虚拟光驱工具。] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - 安全 - HKLM\..\Run: [RavTask] [瑞星杀毒软件的任务计划程序。] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 安全 - HKLM\..\Run: [RfwMain] [瑞星防火墙程序,抵御黑客攻击。] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 安全 - HKLM\..\RunOnce: [360Safe] [360安全卫士] Rundll32.exe C:\PROGRA~1\360safe\AntiAdwa.dll,KillAdware
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O9 - 安全 - Extra button: Windows Messenger(HKLM) - C:\Program Files\Messenger\msmsgs.exe
O23 - 安全 - Service: ewido anti-spyware 4.0 guard [木马专杀工具ewido anti-spyware的相关服务。] - C:\Program Files\ewido anti-spyware 4.0\guard.exe - (running)
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe - (running)
O23 - 安全 - Service: RfwProxySrv [瑞星防火墙相关程序。] - c:\program files\rising\rfw\rfwproxy.exe - (not running)
O23 - 安全 - Service: RfwService [是瑞星个人防火墙相关程序。] - c:\program files\rising\rfw\rfwsrv.exe - (running)
O23 - 安全 - Service: RsCCenter [是瑞星杀毒软件控制台相关程序。] - "C:\Program Files\Rising\Rav\CCenter.exe" - (running)
O23 - 安全 - Service: RsRavMon [是瑞星杀毒软件相关监控程序。] - "C:\PROGRAM FILES\RISING\RAV\Ravmond.exe" - (running)

=======================================

O40 - svchost.exe -  - C:\WINDOWS\SysSun2\Ghook.dll -  - 8c5380d621454636a3e59a7353647ae1
O40 - explorer.exe -  - C:\WINDOWS\SysSun2\Ghook.dll -  - 8c5380d621454636a3e59a7353647ae1

=======================================

O41 - BaseTDI - basetdi - C:\WINDOWS\system32\drivers\basetdi.sys - (running) - basetdi - Beijing Rising Technology Co., Ltd. - 0064810c1b03f2c889130b669a4ce937
O41 - ewido anti-spyware 4.0 driver - ewido anti-spyware 4.0 driver - C:\Program Files\ewido anti-spyware 4.0\guard.sys - (running) -  -  - 9b6b54865bd0ec9ed2532dad89554969
O41 - ExpScaner - ExpScan.sys - C:\PROGRAM FILES\Rising\Rav\ExpScan.sys - (running) - ExpScan.sys -  - 5a690926c7181d5c0b2721016442c9c3
O41 - HookCont - HookCont - C:\PROGRAM FILES\Rising\Rav\HookCont.sys - (running) - HookCont - Rising - 3926cb7b005564bc77d6b40235c53817
O41 - HookReg - HookReg - C:\PROGRAM FILES\Rising\Rav\HOOKREG.sys - (running) -  -  - 997c395147f8e5b3f714bdd112fe8945
O41 - HookSys - Hooksys - C:\PROGRAM FILES\Rising\Rav\HookSys.sys - (running) - Hooksys - Rising - 265b67f85db6226f2439e13e7c1fa8bf
O41 - HookUrl - HookUrl - C:\Program Files\Rising\Rfw\HookUrl.sys - (running) - HookUrl - Beijing Rising Technology Co., Ltd. - 93768ab1e576eef2de107eddbc586e9b
O41 - MEMSCAN - MemScan Driver - C:\PROGRAM FILES\Rising\Rav\MemScan.sys - (running) - MemScan Driver - 瑞星软件有限公司 - 9811b256023dd985cbc5bad790e5bb84
O41 - mProcRs - Rising Personal FireWall  mprocrs.sys - c:\program files\Rising\Rfw\mProcRs.sys - (running) - Rising Personal FireWall  mprocrs.sys - Beijing Rising Technology Co., Ltd. - 3659b3132bc2c05db37b8c5e65687159
O41 - RsFwDrv - nt_fwdrv - C:\Program Files\Rising\Rfw\rsfwdrv.sys - (running) - nt_fwdrv - Beijing Rising Technology Co., Ltd. - 1869e55cfacff0ff786d4ba6d2340ee2
O41 - RsNTGDI - RsNTGDI - C:\WINDOWS\system32\drivers\RsNTGdi.sys - (running) - RsNTGDI - Beijing Rising Technology Co., Ltd. - 17214e7b192cb93ff014fca1484b97ad
O41 - RSPPSYS - RSPPSYS.SYS - C:\PROGRAM FILES\Rising\Rav\rsppsys.sys - (running) - RSPPSYS.SYS - Rising - f38c10d8c21626a4878ea16717e971fa
O41 - sptd - sptd - C:\WINDOWS\system32\drivers\sptd.sys - (running) -  -  -

=======================================
360Safe.exe=3.3.0.1004
AntiAdwa.dll=3.3.0.1004
AntiEng.dll=3.3.0.1001
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1012

新抓到的这个图,一打开QQ,瑞星就有这提示,然后就挂掉了

附件附件:

下载次数:201
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-30 2:53:17
描述:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-30 07:57 | 短消息 资料
字号: 7楼

都死了。

怎就不知道保护自己呢????????
gototop
 
苦寒竹
头像
初生襁褓狮
  • 帖子:62
  • 注册: 2005-04-06
  • 来自:
发表于: 2007-05-31 19:48 | 短消息 资料
字号: 8楼

我中了这毒,今天!瑞星居然不能查杀!120G硬盘啊!
我靠!还不如360呢!
gototop
 
loveperday
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2007-05-11
  • 来自:
发表于: 2007-05-31 21:22 | 短消息 资料
字号: 9楼

别皮话了,好好看帖学习~
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT