17

wjcharles

liulangzhecgr 发表于 2012-1-5 18:19
创建的启动项，md反映过，xt中也能看到...究竟为什么c盘根目录下看不到任何文件是个问题所在...

我在那个位置也找不到那个自启动的exe，奇怪

sy0923

360拦截

liulangzhecgr

wjcharles 发表于 2012-1-5 20:31
我在那个位置也找不到那个自启动的exe，奇怪

2012-1-5 15:12:17    创建文件    允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\UZE0z9xS9gE.exe
规则: [应用程序]* -> [文件]*

你在资源管理器中能看见C:\Documents and Settings\文件夹？！

liulangzhecgr

wjcharles 发表于 2012-1-5 20:31
我在那个位置也找不到那个自启动的exe，奇怪

1.运行样本后检查系统



2.重启系统后打开任务管理器
看见可疑的进程了吧

稍微过一会的任务管理器

可疑进程消失啦
svchost. exe 原来是3个，现在多发现啊 ！

3.再检查系统
还是个灵异现象



4.用xt收拾病毒吧




5.重启系统
打开任务管理器
没有发现可疑进程，svchost.exe  进程3个...


检查系统



呵呵！剩下还要干什么呢？！...

K-Twilight

小红伞网页防火墙拦截了~

wjcharles

liulangzhecgr 发表于 2012-1-6 07:05
你在资源管理器中能看见C:\Documents and Settings\文件夹？！

你看我17L的路径，跟你的有点不一样

wjcharles

liulangzhecgr 发表于 2012-1-6 07:52
1.运行样本后检查系统

我系统是win7 x64，可能病毒不能完全发作吧，重启没任何异常

上午NIS已经入库了，是zbot，那些系统修复流程是自动的，没有感染也要跑一遍，倒可以看一下病毒行为

类别：未解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2012/1/6 10:54:16,高,检测到 17.exe (Trojan.Zbot) (检测方: 自动防护),需要重新启动,必须重新启动电脑。,c:\users\sshss\downloads\17\17.exe

完整路径: c:\users\sshss\downloads\17\17.exe
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2012/1/6 ( 10:54:16 )
启动项目 否
已启动 是
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

____________________________
文件操作
文件: c:\users\sshss\downloads\17\17.exe
已删除
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\ntos.exe
需要重新启动
文件: c:\windows\syswow64\ntos.exe
需要重新启动
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\wsnpoem\audio.dll
需要重新启动
文件: c:\windows\syswow64\wsnpoem\audio.dll
需要重新启动
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\wsnpoem\video.dll
需要重新启动
文件: c:\windows\syswow64\wsnpoem\video.dll
需要重新启动
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\wsnpoem
需要重新启动
文件: c:\windows\syswow64\wsnpoem
需要重新启动
文件: c:\users\sshss\appdata\local\temp\5808.tmp
已删除
文件: c:\users\sshss\appdata\local\temp\4275.tmp
已删除
文件: c:\users\networkservice\application data\wsnpoem\audio.dll
不需要操作
文件: c:\users\networkservice\application data\wsnpoem\video.dll
不需要操作
文件: c:\users\localservice\application data\twain_32\user.ds
不需要操作
文件: c:\users\networkservice\application data\twain_32\user.ds
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\twain_32\local.ds
不需要操作
文件: c:\windows\syswow64\twain_32\local.ds
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\twain_32\user.ds
不需要操作
文件: c:\windows\syswow64\twain_32\user.ds
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\lowsec\local.ds
不需要操作
文件: c:\windows\syswow64\lowsec\local.ds
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\lowsec\user.ds
不需要操作
文件: c:\windows\syswow64\lowsec\user.ds
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\lowsec\user.ds.lll
不需要操作
文件: c:\windows\syswow64\lowsec\user.ds.lll
不需要操作
文件: c:\users\sshss\appdata\roaming\lowsec\local.ds
不需要操作
文件: c:\users\sshss\appdata\roaming\lowsec\user.ds
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\sdra64.exe
不需要操作
文件: c:\windows\syswow64\sdra64.exe
不需要操作
文件: c:\users\sshss\appdata\local\sdra64.exe
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\sysproc64\sysproc32.sys
不需要操作
文件: c:\windows\syswow64\sysproc64\sysproc32.sys
不需要操作
文件: c:\users\sshss\appdata\local\virtualstore\windows\syswow64\sysproc64\sysproc86.sys
不需要操作
文件: c:\windows\syswow64\sysproc64\sysproc86.sys
不需要操作
事件: 正在运行进程: C:\Users\ssHss\AppData\Local\sdra64.exe
不需要操作
事件: 正在运行进程: C:\Users\ssHss\AppData\Local\virtualstore\windows\syswow64\sdra64.exe
不需要操作
事件: 正在运行进程: C:\Windows\SysWOW64\sdra64.exe
不需要操作
____________________________
注册表操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit:C:\Windows\SysWOW64\userinit.exe,
需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run->userinit
需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Run->userinit
需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run->userinit
需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run->userinit
需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion->Win32
需要重新启动
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID
需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID
需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID
需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID
需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID
需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}
需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-21-132046228-1071471334-2442218452-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
需要重新启动
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
需要重新启动
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
需要重新启动
____________________________
文件指纹 - SHA:
0052a4240fc03f17d9500664b883e3f6f1e2dee48ff33ff92a6baaf8cd98cd6d
____________________________
文件指纹 - MD5:
a3d0f9047b4fc116ef6bb98459ed81c8
____________________________

vampire31

Vipre kill