瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 终于知道我是怎么中rpcss.dll病毒的了。

1   1  /  1  页   跳转

[求助] 终于知道我是怎么中rpcss.dll病毒的了。

终于知道我是怎么中rpcss.dll病毒的了。

看监控日志:
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQWRY.DAT
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQWRY.DAT
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\58208~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\58208~.tmp
删除 C:\WINDOWS\system32\drivers\SmartAVS.sys
修改 C:\Documents and Settings\Administrator\Local Settings\Temp
新建 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf
修改 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf
新建 C:\WINDOWS\system32\drivers\SmartAVS.sys
修改 C:\WINDOWS\system32\drivers\SmartAVS.sys
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\Prefetch\智能杀毒伴侣.EXE-18549DE6.pf
修改 C:\WINDOWS\Prefetch\智能杀毒伴侣.EXE-18549DE6.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\system32\apa.dll
改名 C:\WINDOWS\system32\rpcss.dllH [...]
[...] into C:\WINDOWS\system32\0005d1af.~tp
修改 C:\WINDOWS\system32\0005d1af.~tp
新建 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll@
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\config\system.LOG
修改 C:\WINDOWS\system32\config\system.LOGP
修改 C:\WINDOWS\system32\config\system.LOGP
修改 C:\WINDOWS\system32\config\system.LOGP
修改 C:\WINDOWS\system32\config\system.LOG<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\config\system.LOG
修改 C:\WINDOWS\system32\config\systemP
修改 C:\WINDOWS\system32\config\system.LOG
修改 C:\WINDOWS\system32
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\software.LOG
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
修改 C:\WINDOWS\system32\config\systemprofile\Cookies
修改 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5
删除 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
修改 C:\WINDOWS\system32\config\default.LOG
修改 C:\WINDOWS\system32\config\default.LOG
修改 C:\WINDOWS\system32\config\default.LOG
新建 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
新建 C:\WINDOWS\temp\5d3e1~.tmp
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
修改 C:\WINDOWS\temp\5d3e1~.tmp
修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe
修改 C:\WINDOWS\temp
新建 C:\WINDOWS\temp\5d6cf~.tmp
修改 C:\WINDOWS\temp\5d6cf~.tmp
修改 C:\WINDOWS\temp
新建 C:\WINDOWS\Prefetch\5D3E1~.TMP-0A86BE10.pf
修改 C:\WINDOWS\Prefetch\5D3E1~.TMP-0A86BE10.pf
删除 C:\WINDOWS\temp\5d3e1~.tmp
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll<
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\temp
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
新建 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32\rpcss.dll~381421

修改 C:\WINDOWS\system32
修改 C:\WINDOWS\system32\apa.dll
删除 C:\WINDOWS\system32\rpcss.dll~381421
修改 C:\WINDOWS\system32
新建 C:\WINDOWS\system32\rpcss.dll~404171


总是自动从3322.org下载个~198.exe的木马。如果我想做假体的话需要给哪些个文件做?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; icafe8)
分享到:
gototop
 

回复:终于知道我是怎么中rpcss.dll病毒的了。

因为病毒是从我U盘的软件里感染的。我从灰鸽子的网站上下了个木马辅助查找器 2005 监控C盘的文件,然后看运行软件后都生成了什么文件。。。
gototop
 

回复 2F byxxdrls 的帖子

瑞星、卡巴、小红伞、诺盾、在线查毒http://www.virustotal.com/zh-cn/  都没检出来。。。。。
gototop
 

回复 10F 防潮生生世世 的帖子

当然是进IE临时文件夹,里边的exe文件看地址就知道了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT