新病毒,求解! - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛新病毒,求解!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

新病毒,求解!

天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:	发表于： 2006-12-25 14:27 \| 只看楼主短消息资料字号：小中大 1楼新病毒,求解! 这个病毒会将可执行程序感染，病毒发作的特征是执行程序会自动关闭，连任务管理器打开后也被关闭,而且很多快捷方式图标被改成低分辨率的样子,但不是威金的那种 C盘WINDOWS下生成ZT.EXE WL.EXE WOW.EXE 大部分东西都打不开感染能力特强附件: 文件名:80981720061225141856.jpg 下载次数:199 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-25 14:27:53 描述: 2007-01-17 11:27:06
天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:	分享到：

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-12-25 14:29 \| 短消息资料字号：小中大 2楼【回复“天天接招”的帖子】征途木马？ http://www.KZTechs.com/ 下载System Repair Engineer 导出全部日志
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

病毒调试帐号初生襁褓狮帖子:6 注册: 2006-12-24 来自:	发表于： 2006-12-25 14:33 \| 短消息资料字号：小中大 3楼估计是混合型病毒，有木马和蠕虫的特点?
病毒调试帐号初生襁褓狮帖子:6 注册: 2006-12-24 来自:

天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:	发表于： 2006-12-25 14:39 \| 只看楼主短消息资料字号：小中大 4楼我在虚拟机里实验了一下这个病毒，用SSM记录下面的病毒操作过程: 下面部分是删除服务：进程：路径： E:\setup.exe PID: 1972 用户名: 6A73C775C1434B6@iyciff 注册表群组： User AutoRun 对象：注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run 注册表值： svcshare 类型: REG_SZ 值： C:\WINDOWS\system32 进程：路径： C:\WINDOWS\system32\services.exe PID: 792 用户名: NT AUTHORITY@SYSTEM 信息： Services and Controller app (Microsoft Corporation) 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters 进程：路径： C:\WINDOWS\system32\services.exe PID: 792 用户名: NT AUTHORITY@SYSTEM 信息： Services and Controller app (Microsoft Corporation) 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Security 进程：路径： C:\WINDOWS\system32\services.exe PID: 792 用户名: NT AUTHORITY@SYSTEM 信息： Services and Controller app (Microsoft Corporation) 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Enum 进程：路径： C:\WINDOWS\system32\services.exe PID: 792 用户名: NT AUTHORITY@SYSTEM 信息： Services and Controller app (Microsoft Corporation) 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc 服务:\\? ? rity Center 移除 ? ? rity Center 已停止 (禁用) 2006-12-20 15:44:32 父级进程：路径： E:\setup.exe PID: 1972 用户名: 6A73C775C1434B6@iyciff 子级进程：路径： C:\WINDOWS\system32\cmd.exe 信息： Windows Command Processor (Microsoft Corporation) 命令行：cmd.exe /c net share A$ /del /y 父级进程：路径： E:\setup.exe PID: 1972 用户名: 6A73C775C1434B6@iyciff 子级进程：路径： C:\WINDOWS\system32\cmd.exe 信息： Windows Command Processor (Microsoft Corporation) 命令行：cmd.exe /c net share admin$ /del /y 父级进程：路径： E:\setup.exe PID: 1972 用户名: 6A73C775C1434B6@iyciff 子级进程：路径： C:\WINDOWS\system32\cmd.exe 信息： Windows Command Processor (Microsoft Corporation) 命令行：cmd.exe /c net share admin$ /del /y wl.exe 进程：路径： C:\WINDOWS\wl.exe PID: 1772 用户名: 6A73C775C1434B6@iyciff 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv 进程：路径： C:\WINDOWS\wl.exe PID: 1772 用户名: 6A73C775C1434B6@iyciff 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv 注册表值： Type 类型: REG_DWORD 值： 00000001 父级进程：路径： E:\setup.exe PID: 1972 用户名: 6A73C775C1434B6@iyciff 子级进程：路径： C:\WINDOWS\wow.exe 命令行：C:\WINDOWS\wow.exe 进程：路径： C:\WINDOWS\wl.exe PID: 1772 用户名: 6A73C775C1434B6@iyciff 注册表群组： Services 对象：注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv 注册表值： ImagePath 类型: REG_SZ 值： \??\C:\WINDOWS\system32\Drivers\CelInDriver.sys 进程：路径： C:\WINDOWS\wl.exe PID: 1772 驱动：路径： C:\WINDOWS\system32\drivers\CelInDriver.sys 父级进程：路径： E:\setup.exe PID: 1972 用户名: 6A73C775C1434B6@iyciff 子级进程：路径： C:\WINDOWS\mh.exe 命令行：C:\WINDOWS\mh.exe 进程：路径： C:\WINDOWS\mh.exe PID: 2348 驱动：路径： C:\WINDOWS\system32\norton.sys 进程：路径： C:\WINDOWS\wow.exe PID: 2104 驱动：路径： C:\WINDOWS\system32\drivers\CelInDriver.sys 进程：路径： C:\Documents and Settings\Administrator\Local Settings\Temp\mh2\iexpl0re.EXE PID: 2528 库文件：路径： C:\Documents and Settings\Administrator\Local Settings\Temp\Mhgx.dll 挂钩类型：WH_MOUSE（监控鼠标）. 进程：路径： C:\WINDOWS\zt.exe PID: 2600 用户名: 6A73C775C1434B6@iyciff 对象：路径： C:\WINDOWS\explorer.exe 信息： Windows Explorer (Microsoft Corporation) 此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。进程：路径： C:\WINDOWS\zt.exe PID: 2600 驱动：路径： C:\WINDOWS\system32\drivers\CelInDriver.sys 服务:\\WinXP DHCP Service 添加 WinXP DHCP Service 已停止 (自动) (系统) 2006-12-20 15:47:28 服务:\\Windows DHCP Service 添加 Windows DHCP Service 已停止 (自动) (系统) 2006-12-20 15:49:14 服务:\\Win32 DHCP Service 添加 Win32 DHCP Service 已停止 (自动) (系统) 2006-12-20 15:50:24 启动项会多出这两项： iexpl0re.EXE C:\WINDOWS\system32\drivers\spoclsv.exe 这是病毒加载的三个服务文件： windhcp.dll windhcp.ocx xpdhcp.dll 和他的现象一样,转的他的,请大家帮忙看看
天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:

lt010 初生襁褓狮帖子:449 注册: 2006-10-09 来自:	发表于： 2006-12-25 15:06 \| 短消息资料字号：小中大 5楼最新版的瑞星都搞不定？还是你没用杀毒软件？
lt010 初生襁褓狮帖子:449 注册: 2006-10-09 来自:

天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:	发表于： 2006-12-27 14:22 \| 只看楼主短消息资料字号：小中大 6楼瑞星不报,用熊猫专杀断网杀了不少,但一天内又复发我看很象mopery斑竹讲的熊猫作者据说要搞个不改变.exe 图标的大熊猫..不知道是否属实... 观望下个版本.. 这个版本对.exe的改变已经不是单纯的熊猫头了.. .exe 只有稍微一点点的颜色变化.. 求局域网解决方案
天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:

天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:	发表于： 2006-12-27 14:25 \| 只看楼主短消息资料字号：小中大 7楼发作时任务管理器打开后瞬间关闭,图标变成16位色颜色
天天接招初生襁褓狮帖子:7 注册: 2006-12-25 来自:

高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:	发表于： 2006-12-27 14:35 \| 短消息资料字号：小中大 8楼有可能是大部分可执行程序都被感染了，没有什么好办法了，自己下决心吧
高歌猛进初生襁褓狮帖子:2377 注册: 2006-10-09 来自:

afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:	发表于： 2006-12-28 10:54 \| 短消息资料字号：小中大 9楼新的熊猫还加了2个sys这回有的玩了
afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:

afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:	发表于： 2006-12-28 10:58 \| 短消息资料字号：小中大 10楼好贴大家要小心
afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT