小a清除不掉？这是中毒了吗

显示全部楼层 · 发表于 2011-6-12 16:29:53

zhou0197 发表于 2011-6-12 16:21
建议带上sreng日志来救援区（看我的签名），然后金山2.0查杀版全盘处理。

3Q！我试试小a现在不报了，不知是不是被完全清楚了呢

显示全部楼层 · 发表于 2011-6-12 16:31:57

symantec001 发表于 2011-6-12 16:29
3Q！我试试小a现在不报了，不知是不是被完全清楚了呢

病毒正在测试中，感觉行为还比较多。可能还会有残留。来一下吧。

显示全部楼层 · 发表于 2011-6-12 16:43:41

symantec001 发表于 2011-6-12 16:29
3Q！我试试小a现在不报了，不知是不是被完全清楚了呢

2011-6-12 16:25:22 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\desktop\ccom.exe
命令行: "D:\我的文档\Desktop\ccom.exe"
规则: [应用程序]*

22011-6-12 16:25:28 创建新进程允许
进程: d:\我的文档\desktop\ccom.exe
目标: c:\windows\system32\cacls.exe
命令行: cacls.exe C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
规则: [应用程序]*

2011-6-12 16:25:29 修改文件权限允许
进程: c:\windows\system32\cacls.exe
目标: C:\WINDOWS\system32\cmd.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2011-6-12 16:25:29 创建新进程允许
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*

2011-6-12 16:25:29 结束其他进程允许
进程: d:\我的文档\desktop\ccom.exe
目标: c:\windows\system32\cacls.exe
规则: [应用程序]*

2011-6-12 16:25:35 创建文件允许
进程: d:\我的文档\desktop\ccom.exe
目标: C:\WINDOWS\BarClientServer.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2011-6-12 16:25:35 创建文件允许
进程: d:\我的文档\desktop\ccom.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2011-6-12 16:25:36 创建注册表项允许
进程: d:\我的文档\desktop\ccom.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-12 16:25:36 修改注册表值允许
进程: d:\我的文档\desktop\ccom.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc\ImagePath
值: C:\WINDOWS\system32\inertno.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2011-6-12 16:25:38 创建新进程允许
进程: d:\我的文档\desktop\ccom.exe
目标: c:\windows\barclientserver.exe
命令行: C:\WINDOWS\BarClientServer.exe
规则: [应用程序]*

2011-6-12 16:25:40 修改系统时间允许
进程: d:\我的文档\desktop\ccom.exe
新时间: 2011-6-12 16:25:40
规则: [应用程序]*

2011-6-12 16:25:40 创建新进程允许
进程: d:\我的文档\desktop\ccom.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c echo ping 127.1 -n 3 >nul 2>nul >c:\2.bat&echo del "D:\我的文档\Desktop\ccom.exe">>c:\2.bat&echo del c:\2.bat>>c:\2.bat&c:\2.bat
规则: [应用程序]*

2011-6-12 16:25:41 创建文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\2.bat
规则: [文件]?:\

2011-6-12 16:25:41 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\ping.exe
命令行: ping 127.1 -n 3
规则: [应用程序]*

2011-6-12 16:25:44 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: D:\我的文档\Desktop\ccom.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-12 16:26:03 访问网络允许
进程: c:\program files\common files\kingsoft\kiscommon\kxescore.exe
目标: TCP [本机 : 1171] ->  [121.14.11.203 : 8080]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:26:19 访问网络允许
进程: c:\windows\barclientserver.exe
目标: TCP [本机 : 1177] ->  [222.73.45.135 : 81]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:26:20 创建新进程允许
进程: c:\windows\barclientserver.exe
目标: c:\windows\system32\cacls.exe
命令行: cacls.exe C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
规则: [应用程序]*

2011-6-12 16:26:21 结束其他进程允许
进程: c:\windows\barclientserver.exe
目标: c:\windows\system32\cacls.exe
规则: [应用程序]*

2011-6-12 16:26:21 访问网络允许
进程: c:\windows\barclientserver.exe
目标: UDP [本机 : 1178] ->  [127.0.0.1 : 1178]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:26:21 修改注册表值允许
进程: c:\windows\barclientserver.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMan
值: BarClientServer.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011-6-12 16:26:21 修改注册表值允许
进程: c:\windows\barclientserver.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc\ImagePath
值: C:\WINDOWS\system32\inertno.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2011-6-12 16:26:22 删除注册表值允许
进程: c:\windows\barclientserver.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\KavPFW
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2011-6-12 16:26:22 创建新进程允许
进程: c:\windows\barclientserver.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c route print|find "Default Gateway: ">c:\ip.txt
规则: [应用程序]*

2011-6-12 16:26:22 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\route.exe
命令行: route print
规则: [应用程序]*

2011-6-12 16:26:23 从其他进程复制句柄允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\route.exe
句柄: (File) \Device\NamedPipe\Win32Pipes.00000c28.00000001
规则: [应用程序]*

2011-6-12 16:26:23 创建文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\ip.txt
规则: [文件]?:\

2011-6-12 16:26:23 修改文件允许
进程: c:\windows\system32\find.exe
目标: C:\ip.txt
规则: [文件]?:\

2011-6-12 16:26:24 删除文件允许
进程: c:\windows\barclientserver.exe
目标: C:\ip.txt
规则: [文件]?:\

2011-6-12 16:26:24 创建文件允许
进程: c:\windows\barclientserver.exe
目标: C:\WINDOWS\system32\ssem.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2011-6-12 16:26:25 创建新进程允许
进程: c:\windows\barclientserver.exe
目标: c:\windows\system32\ssem.exe
命令行: C:\WINDOWS\system32\ssem.exe
规则: [应用程序]*

2011-6-12 16:26:25 创建文件允许
进程: c:\windows\system32\ssem.exe
目标: C:\Program files\MSDN\LHL13.sys
规则: [文件组]所有执行文件 -> [文件]*; *.sys

2011-6-12 16:26:25 创建新进程允许
进程: c:\windows\system32\ssem.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\windows\system32\cmd.exe /c time 16:26:00
规则: [应用程序]*

2011-6-12 16:26:26 修改其他进程的内存允许
进程: c:\windows\system32\ssem.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]*

2011-6-12 16:26:00 修改系统时间允许
进程: c:\windows\system32\cmd.exe
新时间: 2011-6-12 16:26:00
规则: [应用程序]*

2011-6-12 16:26:00 创建新进程允许
进程: c:\program files\common files\kingsoft\kiscommon\upsvc.exe
目标: c:\program files\common files\kingsoft\kiscommon\kisaddin.exe
命令行: "C:\Program Files\Common Files\Kingsoft\kiscommon\kisaddin.exe" -kislive -realcheck -srv
规则: [应用程序]*

2011-6-12 16:26:02 访问网络允许
进程: c:\windows\explorer.exe
目标: UDP [本机 : 1181] ->  [127.0.0.1 : 1181]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:26:02 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1182] ->  [222.73.45.135 : 81]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:26:02 访问网络允许
进程: c:\windows\explorer.exe
目标: TCP [本机 : 1183] ->  [121.10.107.78 : 88 (kerberos)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:27:17 安装全局消息钩子允许
进程: c:\documents and settings\administrator\local settings\temp\aeulvg.exe
目标: c:\program files\common files\system\kb181594.dla
钩子类型: WH_GETMESSAGE
规则: [应用程序]*

2011-6-12 16:27:23 安装全局消息钩子允许
进程: c:\windows\system32\ctfmon.exe
目标: c:\program files\common files\system\kb181594.dla
钩子类型: WH_GETMESSAGE
规则: [应用程序]c:\windows\system32\ctfmon.exe

2011-6-12 16:27:39 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\uepwh.exe
目标: UDP [本机 : 1185] ->  [127.0.0.1 : 1185]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:27:40 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\uepwh.exe
目标: TCP [本机 : 1186] ->  [222.73.45.135 : 81]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:28:20 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\weyjzqf.exe
目标: TCP [本机 : 1187] ->  [123.125.114.174 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:28:54 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\weyjzqf.exe
目标: UDP [本机 : 1188] ->  [127.0.0.1 : 1188]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:29:01 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\srzyztu.exe
目标: TCP [本机 : 1189] ->  [220.181.111.78 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:29:02 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\srzyztu.exe
目标: UDP [本机 : 1190] ->  [127.0.0.1 : 1190]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:29:32 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\vqmkto.exe
目标: TCP [本机 : 1191] ->  [123.125.114.174 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:29:35 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\vqmkto.exe
目标: UDP [本机 : 1192] ->  [127.0.0.1 : 1192]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:30:33 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\ygixwhp.exe
目标: TCP [本机 : 1193] ->  [220.181.111.78 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:30:33 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\ygixwhp.exe
目标: UDP [本机 : 1194] ->  [127.0.0.1 : 1194]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:30:43 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\lnnyiys.exe
目标: TCP [本机 : 1195] ->  [123.125.114.174 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:30:44 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\lnnyiys.exe
目标: UDP [本机 : 1196] ->  [127.0.0.1 : 1196]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:30:54 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\bvhexn.exe
目标: TCP [本机 : 1197] ->  [220.181.111.78 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:30:54 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\bvhexn.exe
目标: UDP [本机 : 1198] ->  [127.0.0.1 : 1198]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:31:34 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\awmvewo.exe
目标: TCP [本机 : 1199] ->  [123.125.114.174 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:31:37 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\awmvewo.exe
目标: UDP [本机 : 1200] ->  [127.0.0.1 : 1200]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:31:44 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\nbblqdm.exe
目标: TCP [本机 : 1201] ->  [220.181.111.78 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:31:44 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\nbblqdm.exe
目标: UDP [本机 : 1202] ->  [127.0.0.1 : 1202]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:31:54 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\rcbkt.exe
目标: TCP [本机 : 1203] ->  [123.125.114.174 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:31:58 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\rcbkt.exe
目标: UDP [本机 : 1204] ->  [127.0.0.1 : 1204]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:32:04 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\yblmfl.exe
目标: TCP [本机 : 1205] ->  [220.181.111.78 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:32:05 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\yblmfl.exe
目标: UDP [本机 : 1206] ->  [127.0.0.1 : 1206]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:32:15 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\idfup.exe
目标: TCP [本机 : 1207] ->  [222.73.45.135 : 81]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:32:18 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\idfup.exe
目标: UDP [本机 : 1208] ->  [127.0.0.1 : 1208]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-12 16:32:18 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\idfup.exe
目标: TCP [本机 : 1210] ->  [121.14.35.167 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

东西很多，病毒会下载其他病毒文件，注意清理：
c:\documents and settings\administrator\local settings\temp\
C:\WINDOWS\
C:\WINDOWS\system32\
C：\
下面的可疑文件……

显示全部楼层 · 发表于 2011-6-12 17:02:45

本帖最后由 symantec001 于 2011-6-12 17:12 编辑

zhou0197 发表于 2011-6-12 16:31
病毒正在测试中，感觉行为还比较多。可能还会有残留。来一下吧。

SREng扫描日志已发到救援区

[求助] 小a清除不掉？这是中毒了吗