昨天的终结者变种

hillock

格式化c盘，重装系统，没有操作其他磁盘。安装卡吧的过程中，浏览一个百度空间时，机器重起，中招。

生成一个进程，进程名由随机的八位数字和字母组成。

并在system32文件夹中生成同名的exe文件

还有两个七位文件名的dll文件，其中一个插入 winlogon.exe进程

附件中9D31B846.DLL插入进程

系统时间会被修改

感染exe文件不能确定，因为重装前机子就已经中了好多病毒（其他的磁盘的exe文件都被感染）．




[ 本帖最后由 hillock 于 2007-9-1 13:46 编辑 ]

红心王子

a-squared	3.0.0.123	2007.08.30	2007-08-30	-	3.990
Arcavir	1.0.4	200708301939	2007-08-30	-	1.299
AVAST	1.0.8	000770-0	2007-08-30	Win32:Agent-JOF [Trj]	3.068
AVG	7.5.48.442	269.13.1/981	2007-08-31	BackDoor.Hupigon2.JEB	1.543
BitDefender	7.60825.815415	7.14574	2007-08-31	-	11.927
CA (VET)	8.4.0.24	31.1.5099	2007-08-31	Win32/Pipown!generic worm.	0.905
ClamAV	0.91.1	4110	2007-08-31	-	0.253
ewido	4.0.0.2	2007.08.30	2007-08-30	-	2.106
F-SECURE	5.51.6100	2007.08.30.11	2007-08-30	-	2.923
IKARUS	T3.1.1.12	2007.08.31.69422	2007-08-31	Trojan-PWS.Win32.Agent.BU	1.285
MKS_VIR	2.01	2007.08.31	2007-08-31	-	1.970
NOD32	2.70.8	2493	2007-08-31	-	0.155
nProtect	2007-08-30.00	38096	2007-08-30	-	20.269
QuickHeal	9.00	2007.08.30	2007-08-30	Suspicious - DNAScan	2.435
SOPHOS	2.49.1	4.21	2007-08-31	Mal/Behav-119	2.456
VBA32	3.12.2.3	20070830.0607	2007-08-30	-	1.015
VirusBuster	4.3.19:9	9.099.11/11.0	2007-08-30	Packed/NSPack	1.002
冰岛杀毒	3.16.16	2007.08.30	2007-08-30	-	1.572
卡巴斯基	5.5.10	2007.08.31	2007-08-31	-	0.265
大蜘蛛	4.33	2007.08.31	2007-08-31	Trojan.Popwin	5.793
小红伞	7.4.1.66	6.39.1.71	2007-08-31	BDS/Exaal.45056	2.383
江民杀毒	10.00.650	2007.08.30	2007-08-30	Trojan/Agent.oix	0.757
熊猫卫士	9.04.03.0001	2007.08.30	2007-08-30	Suspicious file	3.521
瑞星	19.0	19.38.41.00	2007-08-31	Trojan.Win32.VB.xjj	2.302
诺曼	5.91.05	5.90	2007-08-31	Hupigon.gen66	2.727
赛门铁克	1.3.0.24	20070830.009	2007-08-30	-	0.323
趋势	8.500-1001	4.681.00	2007-08-30	-	0.049
迈克菲	5.1.00	5109	2007-08-30	-	1.935
金山毒霸	2007.6.20.249	2007.9.1	2007-09-01	-	0.863

欠妳緈諨

1688388728

就一进程.

hillock

就一个进程

只要把一个dll文件解锁掉，就可以删勒

gho

咔吧，nod都挂

绅博周幸

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

  
  我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：6to4svc.dll
    不是病毒

    2.文件名：7E83ED93.exe
    病毒名：Trojan.Win32.VB.xjj

    3.文件名：9D31B846.DLL
    病毒名：Trojan.IMMSG.Win32.TBMSG.kw

    您所上报的病毒文件将在19.38.52版本中处理解决。

注意：如果您上报的文件损坏或者压缩包有密码保护，会导致我们无法正确分析，请您确认文件正常且压缩包中无密码后再提交。
如有问题，您可以通邮件服务中心与我们联系，详细描述您的问题，并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提 醒：为保证收到您的来信，请勿直接回复本邮件!!!

孤独更可靠

不是终结者``

这个应该是Auto.exe

注册系统服务的

会下超级多的木马``

shadow_cuk

微点没反应......

uhthn2002

Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Paranoia Database - 1362
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\uhthn\Desktop\New Folder

C:\Documents and Settings\uhthn\Desktop\New Folder\6to4svc.dll - Suspicious file
C:\Documents and Settings\uhthn\Desktop\New Folder\7E83ED93.exe - OK
C:\Documents and Settings\uhthn\Desktop\New Folder\9D31B846.DLL - Suspicious of MalwareSpy.Trojan-Downloader.VB.1

3 Files scanned
0 Infected files found
2 Suspicious files found
0 Files cured
0 Files deleted