今天遇到一台2000的机器中了那万恶的八位字母dll,
发现sreng2,PendMove,一运行自动就被删除了,以为是新加的功能就没在意
用Autoruns加KillBox搞掉重起之后sreng2,PendMove还是自动消失
查了下一直在连一个江苏的ip



发现卡卡连装都不让装直接没动静
system32下出现一堆６位字母的dll冰刃一查都在explorer里
Autoruns没扫出来sreng2还用不了翻出syscheck一查那些6位dll都注册表留了名
进安全蓝屏.....修复再进sreng2扫出2个文件qwciou.dllwcioua.tzf没被搞掉估计是主角
qwciou.dll这个在资源管理器下还不可见加载的位置卡卡称为浏览器后加载



搞掉后不在连那ip了
瑞星也不报毒
也没样本也不知哪个网站带来的
百度google上也搜不到
谁有相同的给分析下

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; InfoPath.1; Alexa Toolbar)

自从局域网内搞了个updatae services
中毒的都少了
这个无聊
这的人怎么这么少了
这期电脑报上还有斑竹小聪写的关于arp的文章
好久没见了