此病毒折磨我好久了大家看看

显示全部楼层 · 发表于 2011-6-9 12:03:55

那个病毒文件setup的行为：

2011-6-9 11:53:37 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\desktop\setup.exe
命令行: "D:\我的文档\Desktop\Setup.exe"
规则: [应用程序]*

2011-6-9 11:53:39 修改文件允许
进程: d:\我的文档\desktop\setup.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-9 11:53:40 删除文件允许
进程: c:\windows\system32\svchost.exe
目标: D:\我的文档\Desktop\Setup.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-9 11:53:49 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\reg.exe
命令行: reg add HKLM\SYSTEM\CurrentControlSet\Services\47F623C8 /v Start /t REG_DWORD /d 3 /f
规则: [应用程序]*

2011-6-9 11:53:50 创建注册表项允许
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\47F623C8
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-9 11:53:52 修改注册表值允许
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\47F623C8\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-6-9 11:53:55 修改注册表值允许
进程: c:\windows\system32\reg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\47F623C8\ImagePath
值: system32\drivers\47F623C8.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2011-6-9 11:53:59 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\system32\drivers\47F623C8.sys（名称随机）
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-6-9 11:54:08 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.2 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:17 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.3 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:19 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.4 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:27 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.5 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:35 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.6 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:43 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.7 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:48 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.8 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:54 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.9 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:54:59 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.10 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:05 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.11 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:10 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.12 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:19 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.13 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:27 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.14 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:37 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.15 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:39 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.16 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:45 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.17 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:52 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.18 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-9 11:55:58 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: RawIP [本机 : 0] ->  [192.168.0.19 : 0]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

删除自己，修改appmgmts.dll，加驱动，联网（疑似局域网传播？）……
看来之前的处理有效……

显示全部楼层 · 发表于 2011-6-9 12:20:52

不知道上面的人都怎么了别人是来求助的不是看什么杀软可以杀的目前鬼影3还不能报毒的杀软没有几个了吧你可以用360的鬼影3专杀试试之后在有360的急救箱在全盘修复一下

显示全部楼层 · 发表于 2011-6-9 12:43:11

好吓人的病毒

显示全部楼层 · 发表于 2011-6-9 12:47:20

FS

显示全部楼层 · 发表于 2011-6-9 13:22:57

KIS

检测到威胁: Worm.Win32.Qvod.fc E:\download\新建文件夹.7z/新建文件夹/recycle.{645FF040-5081-101B-9F08-00AA002F954E}/Setup.exe
检测到威胁: Trojan.Win32.AutoRun.zo E:\download\新建文件夹.7z/新建文件夹/autorun.inf

显示全部楼层 · 发表于 2011-6-9 13:23:59

大量修改系统文件感染系统。

显示全部楼层 · 发表于 2011-6-9 13:36:03

EAV

D:\下载\新建文件夹.7z > 7ZIP > 苞圅9/autorun.inf - Win32/AutoRun.NAT 病毒
D:\下载\新建文件夹.7z > 7ZIP > 苞圅9/recycle.{645FF040-5081-101B-9F08-00AA002F954E}/Setup.exe - Win32/Wapomi.K 病毒的变种

显示全部楼层 · 发表于 2011-6-9 13:38:56

刚点进去就被avast拦截了。。。

显示全部楼层 · 发表于 2011-6-9 13:41:27

360杀毒清除

显示全部楼层 · 发表于 2011-6-9 13:57:56

关键是系统现在不行了，怎么修复啊！

[病毒样本] 此病毒折磨我好久了大家看看

本帖子中包含更多资源

浏览过的版块

[病毒样本] 此病毒折磨我好久了 大家看看

本帖子中包含更多资源

浏览过的版块

[病毒样本] 此病毒折磨我好久了大家看看