反向捕获 FTP 中的所有马，哈哈...大家也来研究一下

Cloud018

谁用微点来试试啊？
我的微点好像没有什么反应...
微点卫士 在吗？

微点卫士

原帖由 Cloud018 于 2007-8-24 11:01 发表
谁用微点来试试啊？
我的微点好像没有什么反应...
微点卫士 在吗？

2个批处理文件不能杀，你上报吧
大多数能拦截，不过有一个运行后提示离关机还有1分钟，怎么我不是遇到蓝屏，就是遇到这种事情
吃好中饭，休息好后，贴报告

Cloud018

原帖由 微点卫士 于 2007-8-24 12:09 发表

2个批处理文件不能杀，你上报吧
大多数能拦截，不过有一个运行后提示离关机还有1分钟，怎么我不是遇到蓝屏，就是遇到这种事情
吃好中饭，休息好后，贴报告

嗯...这种情况...如果结束系统关键进程就会出现这种情况
例如结束 winlogon.exe 会蓝屏，结束 lsass.exe 会倒计时1分钟关机（效果如 shutdown -s -t 60，在命令行输入 shutdown -a 可以解决），还有...不记得了

king6808

第一个哪有毒啊

微点卫士

微点：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\3-8004.EXE
可疑程序生成以下文件:
1) C:\WINDOWS.0\LSUSS.EXE
2) C:\WINDOWS.0\DELETE.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\3-8004.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\LSUSS.EXE
是否删除木马程序及其衍生物?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\07-5-8003.EXE
可疑程序生成以下文件:
1) C:\WINDOWS.0\SVCH)ST.EXE
2) C:\WINDOWS.0\SVCH)ST.DLL
3) C:\WINDOWS.0\RAV2007.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\07-5-8003.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SVCH)ST.EXE
2) C:\WINDOWS.0\SVCH)ST.DLL
是否删除木马程序及其衍生物?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\07-5-8003.EXE
1) C:\WINDOWS.0\RAV2007.BAT
是否删除可疑程序?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\DOWN.EXE
木马程序生成以下文件:
1) C:\PROGRAM FILES\COMMON FILES\SYSTEM\YFPFJQS.EXE
2) C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\AGMMFLE.EXE
是否删除木马程序及其衍生物?
木马名称:未知木马

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\GZ.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\SXCZ1314-3344.EXE
是否删除木马程序及其衍生物?
木马名称:未知间谍软件

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\SXCZ1314-3344.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\DOS.VNET.8800.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SYSTEM32\RCSS.EXE
2) C:\WINDOWS.0\SYSTEM32\RCSS.DLL
是否删除木马程序及其衍生物?
木马名称:Trojan-PSW.Win32.QQRob.bkd

程序:
C:\WINDOWS.0\SYSTEM32\RCSS.DLL
是木马程序!
已成功阻止其运行,是否要删除此文件?
程序:
C:\WINDOWS.0\SYSTEM32\TERMSRVHACK.DLL
是否删除木马程序及其衍生物?

7788.EXE运行后离关机还有1分钟 ，50085，135，30085，还有个online的不报

[ 本帖最后由 微点卫士 于 2007-8-24 13:59 编辑 ]

Cloud018

king6808：
你是指...？C盘那一包？前面说过了，第一包不重要，最重要是第二包

微点卫士：
估计是结束了 lsass.exe 的进程，以前也见过这样的病毒。命令行键入 shutdown -a 即可

bridgewr

原帖由 微点卫士 于 2007-8-24 13:54 发表
微点：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\N个[1]\3-8004.EXE
可疑程序生成以下文件:
1) C:\WINDOWS.0\LSUSS.EXE
2) C:\WINDOWS.0\DELETE.BAT
是可疑程序!
试图删除文件!
是否阻止该 ...

7788调用了shutdown.exe这个关机程序，所以会自动关机，我这没看到他结束lsass，

[ 本帖最后由 bridgewr 于 2007-8-24 22:44 编辑 ]

saga3721

貌似那2个批处理文件没有威胁

uhthn2002

C:\Documents and Settings\uhthn\Desktop\virus\onlinek-ip03.exe : is suspected of Trojan-Spy.Banker.68
C:\Documents and Settings\uhthn\Desktop\virus\sxcz1314-3344.exe : infected MalwareScope.Trojan-PSW.Game.14

Cloud018

原帖由 bridgewr 于 2007-8-24 22:43 发表



7788调用了shutdown.exe这个关机程序，所以会自动关机，我这没看到他结束lsass，

那就是咯，我也没有认真看它的代码
反正用 shutdown -a 可以解决就是了