似乎是一个病毒，麻烦大家分析下。

显示全部楼层 · 发表于 2011-7-8 19:16:03

饭是来装桶的发表于 2011-7-8 19:11
为什么我的电脑就那么惨.

XP下的表现：

2011-7-8 19:10:26 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\desktop\qiyou.exe
命令行: "D:\我的文档\Desktop\qiyou.exe"
规则: [应用程序]*

2011-7-8 19:10:27 创建新进程允许
进程: d:\我的文档\desktop\qiyou.exe
目标: c:\windows\system32\rundll32.exe
命令行: "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\密保卡.png
规则: [应用程序]*

2011-7-8 19:10:28 创建文件允许
进程: d:\我的文档\desktop\qiyou.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\3333333333.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-7-8 19:10:28 创建新进程允许
进程: d:\我的文档\desktop\qiyou.exe
目标: c:\documents and settings\administrator\local settings\temp\3333333333.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\3333333333.exe"
规则: [应用程序]*

2011-7-8 19:10:30 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\1019.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-7-8 19:10:31 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\ddr019.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-7-8 19:10:31 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\New.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-7-8 19:10:32 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\dsound.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-7-8 19:10:32 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\ddraw.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-7-8 19:10:32 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\comres.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-7-8 19:10:33 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-7-8 19:10:33 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\WINDOWS\system32\olepro32.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-7-8 19:10:33 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\woool01.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2011-7-8 19:10:34 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\3333333333.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woool01.bat
规则: [应用程序]*

2011-7-8 19:10:34 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\3333333333.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-7-8 19:10:35 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\woool01.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

创建病毒文件，感染部分系统文件，自我销毁……
难道UAC发现修改系统文件了？不过尚未发现关机的问题…………会不会是沙盘清空了？

显示全部楼层 · 发表于 2011-7-8 19:18:13

dm34343667 发表于 2011-7-8 19:12
用 360急救试试吧

我用金山急救箱~

显示全部楼层 · 发表于 2011-7-8 19:18:40

Suspicious.Cloud.5.A
铁壳杀

显示全部楼层 · 发表于 2011-7-8 19:19:36

饭是来装桶的发表于 2011-7-8 19:18
我用金山急救箱~

杀不到就换呗

显示全部楼层 · 发表于 2011-7-8 19:20:03

WeeVee 发表于 2011-7-8 19:18
Suspicious.Cloud.5.A
铁壳杀

奇怪了你用的是什么版本.

显示全部楼层 · 发表于 2011-7-8 19:20:28

金山报了。

显示全部楼层 · 发表于 2011-7-8 19:20:53

这个确实是个病毒

运行后一共出现3个病毒衍生物
并且尝试访问ctfmon.exe进程内存

显示全部楼层 · 发表于 2011-7-8 19:21:10

zhou0197 发表于 2011-7-8 19:16
XP下的表现：

2011-7-8 19:10:26 创建新进程允许

如果我没记错的UAC报的是这个软件
Microsoft Current

显示全部楼层 · 发表于 2011-7-8 19:24:00

饭是来装桶的发表于 2011-7-8 19:20
奇怪了你用的是什么版本.

SEP12.1，解压报了

显示全部楼层 · 发表于 2011-7-8 19:24:42

WeeVee 发表于 2011-7-8 19:24
SEP12.1，解压报了

难道说诺顿2012和SEP用的不是同一个病毒库？

[病毒样本] 似乎是一个病毒，麻烦大家分析下。