清理助手挂马

a256886572008

2012-05-26 15:28:47   C:\Documents and Settings\Roger\桌面\virus\iPhone QQtousheng\server.exe   Sandboxed As   Partially Limited   

2012-05-26 15:28:59   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\$kbtemp$\run.vbs   Sandboxed As   Partially Limited   

2012-05-26 15:29:02   C:\DOCUME~1\Roger\LOCALS~1\Temp\RarSFX0\$kbtemp$\a.exe   Sandboxed As   Partially Limited   

2012-05-26 15:29:02   C:\DOCUME~1\Roger\LOCALS~1\Temp\RarSFX0\$kbtemp$\b.exe   Sandboxed As   Partially Limited   

2012-05-26 15:29:05   C:\DOCUME~1\Roger\LOCALS~1\Temp\RarSFX0\1.bat   Sandboxed As   Partially Limited   

2012-05-26 15:29:08   c:\docume~1\roger\locals~1\temp\rarsfx0\jnmcbrgwbg   Sandboxed As   Partially Limited   

server.exe  

2012-05-26 15:28:48   C:\Documents and Settings\Roger\桌面\virus\iPhone QQtousheng\server.exe   Install Hook, Suspicious   C:\Documents and Settings\Roger\Local Settings\Temp\fop9D2.tmp   

2012-05-26 15:29:18   C:\Documents and Settings\Roger\桌面\virus\iPhone QQtousheng\server.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\$kbtemp$\a.exe   

2012-05-26 15:29:26   C:\Documents and Settings\Roger\桌面\virus\iPhone QQtousheng\server.exe   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\1.bat   

2012-05-26 15:29:26   C:\Documents and Settings\Roger\桌面\virus\iPhone QQtousheng\server.exe   Access Memory   C:\WINDOWS\explorer.exe   

jnmcbrgwbg

2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify File   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\$kbtemp$\a.exe   

2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Access COM Interface   LocalSecurityAuthority.Backup   

2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\6to4   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\EventSystem   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\Ias   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\Netman   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\Schedule   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\BITS   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\DHCP   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\NWCWorkstation   
2012-05-26 15:29:18   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\Rasman   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\W32Time   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\WmdmPmSp   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\wuauserv   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\WmdmPmSN   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\napagent   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\hkmsvc   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\ias   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\rEmOtErEGiSTry   
2012-05-26 15:29:26   C:\Documents and Settings\Roger\Local Settings\Temp\RarSFX0\jnmcbrgwbg   Modify Key   HKLM\SYSTEM\ControlSet???\Services\xcvs   

動作挺多的。

txk9083

a256886572008 发表于 2012-5-26 15:41
server.exe  

那BF.ini 呢，是正常系统文件还是病毒生成物？

sy0923

貌似都报毒了 EAV和金山都报

a256886572008

txk9083 发表于 2012-5-26 15:50
那BF.ini 呢，是正常系统文件还是病毒生成物？

這 ini 打開來是 PE 文件，直接刪除吧

txk9083

a256886572008 发表于 2012-5-26 16:03
這 ini 打開來是 PE 文件，直接刪除吧

删除后影响系统稳定和安全吗？这个好像不是系统文件，我看了下其他人电脑上没有，但virscan扫描只有四个报毒http://r.virscan.org/report/7648994be37e55c5636e5b83a4d33bee.html
所以不知道不是不病毒生成物

a256886572008

txk9083 发表于 2012-5-26 16:10
删除后影响系统稳定和安全吗？这个好像不是系统文件，我看了下其他人电脑上没有，但virscan扫描只有四个报 ...

那就刪除吧

846859163

已报告的攻击页面！
      
      
      
      
        
        
         
          位于 58.243.166.196 的此网页曾被举报为恶意网页，已经被您所设置的安全策略阻挡。
        

        
        
         
          攻击页面会尝试安装盗取私人信息的，或者利用您的计算机攻击他人或损害您系统的程序。有些攻击页面还会故意散布有害软件，这些软件大多会在未告知所有者并获得允许的情况下安装。