这是毒吗？

wanghai360good

03102408 发表于 2011-6-17 12:55
这个毒，并没有使用上面的启动方法啊！

我说的两种方式都是比较简单的，而且隐蔽性不好，稍微懂点电脑的人看一眼就知道了，所以一般不会使用。

619875192

卡巴 报木马

Dirk

sevenday

通过注册表

WeeVee

1. 完整路径: c:\users\****\desktop\11 f.rar
   
2. ____________________________
   
3. ____________________________
   
4. 在电脑上的创建时间 不可用
   
5. 上次使用时间 2011/6/17 ( 15:55:40 )
   
6. 启动项目 否
   
7. 已启动 否
   
8. ____________________________
   
9. ____________________________
   
10. 未知
    
11. 诺顿社区中使用此文件的用户数量: 未知
    
12. ____________________________
    
13. 未知
    
14. 此文件版本当前未知。
    
15. ____________________________
    
16. 高
    
17. 此文件具有高风险。
    
18. ____________________________
    
19. 威胁详细信息
    
20. 威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
    
21. ____________________________
    
22. 
    
23. ____________________________
    
24. 文件操作
    
25. 文件: c:\users\****\desktop\11 f.rar
    
26. 已删除
    
27. ____________________________
    
28. 文件指纹 - SHA:
    
29. 不可用
    
30. ____________________________
    
31. 文件指纹 - MD5:
    
32. 不可用
    
33. ____________________________
    

复制代码

hx1997

映像劫持

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe

禁用系统还原

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\SystemRestore
  (DWORD) DisableSR            =0x00000001 (1)

修改exe关联指向病毒

HKEY_CURRENT_USER\software\classes\.exe\shell\open\command
  (SZ) (Default) ="G:\Documents and Settings\Administrator.HX-C0987054243B\Local Settings\Application Data\agm.exe" -a "%1" %*
  (SZ) IsolatedCommand ="%1" %*

HKEY_CURRENT_USER\software\classes\exefile\shell\open\command
  (SZ) (Default) ="G:\Documents and Settings\Administrator.HX-C0987054243B\Local Settings\Application Data\agm.exe" -a "%1" %*
  (SZ) IsolatedCommand ="%1" %*

自启动

HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon
  (SZ) Shell =G:\Documents and Settings\Administrator.HX-C0987054243B\Application Data\Microsoft\xhphgk.exe

HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
  Old: (SZ) (Default) =G:\Program Files\Aurora\firefox.exe
  New: (SZ) (Default) ="G:\Documents and Settings\Administrator.HX-C0987054243B\Local Settings\Application Data\agm.exe" -a "G:\Program Files\Aurora\firefox.exe"

HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
  Old: (SZ) (Default) ="G:\Program Files\Internet Explorer\iexplore.exe"
  New: (SZ) (Default) ="G:\Documents and Settings\Administrator.HX-C0987054243B\Local Settings\Application Data\agm.exe" -a "G:\Program Files\Internet Explorer\iexplore.exe"

wqcaokeyinwq

实机测试。。。
金山卫士报未知。。。。。。。。。。
红伞实时监控秒杀。。。。。。。。

绅博周幸

wqcaokeyinwq 发表于 2011-6-17 17:32
实机测试。。。
金山卫士报未知。。。。。。。。。。
红伞实时监控秒杀。。。。。。。。

lwqiezi

微点2.0解压报毒

qq541471559

avast\fs\kingsoft kill