昨天说不中毒，今天马上来一个，亲们，你们有事做了。

显示全部楼层 · 发表于 2012-12-3 18:20:28

本帖最后由 mp2mp2 于 2012-12-3 18:28 编辑

第一个是隔离区的，第二个是定位找到的文件。

提示是植入型木马，关联了很多个程序

;Twister Log Viewer [Version 1.0.1.2828]
;Copyright (C) Filseclab Corporation
;
;Report created by txl@TXL-PC on 2012年12月3日 18:23:08
;Scan mode: 注册表防御

;Subject Name Action
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[LENOVO.TPKNRRES]="C:\Program Files\Lenovo\Communications Utility\TPKNRRES.exe                                                                                                                                                                                                             " REGM.Autorun.A!drop 只报告
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[AcWin7Hlpr]="C:\Program Files\Lenovo\Access Connections\AcTBenabler.exe                                                                                                                                                                                                             " REGM.Autorun.A!drop 只报告
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[SRSHDAudioLab]=""C:\Program Files\SRS Labs\SRS HD Audio Lab\HDAL.exe" auto" REGM.Autorun.D!drop 只报告
;Scan aborted on 2012年12月3日 18:23:08

;Summary:
;  Objects: 3
;  Infections: 3
;  Actions: 0
;  Elapsed time: 00:00:04
;  Start time: 2012年12月3日 8:08:18
;  End time: 2012年12月3日 8:08:22
;  Speed: 0/s
;  --------------------------------------------------

;Twister Log Viewer [Version 1.0.1.2828]
;Copyright (C) Filseclab Corporation
;
;Report created by txl@TXL-PC on 2012年12月3日 18:24:18
;Scan mode: 注册表防御

;Subject Name Action
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[LENOVO.TPKNRRES]="C:\Program Files\Lenovo\Communications Utility\TPKNRRES.exe                                                                                                                                                                                                             " REGM.Autorun.A!drop 只报告
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[AcWin7Hlpr]="C:\Program Files\Lenovo\Access Connections\AcTBenabler.exe                                                                                                                                                                                                             " REGM.Autorun.A!drop 只报告
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[SRSHDAudioLab]=""C:\Program Files\SRS Labs\SRS HD Audio Lab\HDAL.exe" auto" REGM.Autorun.D!drop 只报告
;Scan aborted on 2012年12月3日 18:24:18

;Summary:
;  Objects: 3
;  Infections: 3
;  Actions: 0
;  Elapsed time: 00:00:04
;  Start time: 2012年12月3日 8:08:18
;  End time: 2012年12月3日 8:08:22
;  Speed: 0/s
;  --------------------------------------------------

;Twister Log Viewer [Version 1.0.1.2828]
;Copyright (C) Filseclab Corporation
;
;Report created by txl@TXL-PC on 2012年12月3日 18:24:23
;Scan mode: 注册表防御

;Subject Name Action
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[LENOVO.TPKNRRES]="C:\Program Files\Lenovo\Communications Utility\TPKNRRES.exe                                                                                                                                                                                                             " REGM.Autorun.A!drop 只报告
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[AcWin7Hlpr]="C:\Program Files\Lenovo\Access Connections\AcTBenabler.exe                                                                                                                                                                                                             " REGM.Autorun.A!drop 只报告
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[SRSHDAudioLab]=""C:\Program Files\SRS Labs\SRS HD Audio Lab\HDAL.exe" auto" REGM.Autorun.D!drop 只报告
;Scan aborted on 2012年12月3日 18:24:23

;Summary:
;  Objects: 3
;  Infections: 3
;  Actions: 0
;  Elapsed time: 00:00:04
;  Start time: 2012年12月3日 8:08:18
;  End time: 2012年12月3日 8:08:22
;  Speed: 0/s
;  --------------------------------------------------

显示全部楼层 · 发表于 2012-12-3 18:29:39

没看懂，楼主是说这个病毒过费尔了么？

显示全部楼层 · 发表于 2012-12-3 18:31:42

过微点扫描。。
双击。。。弹出错误。。64位。。WIN7。。。以管理员省份运行会触发UAC报警。。黄色弹框

显示全部楼层 · 发表于 2012-12-3 18:34:31

本帖最后由 mp2mp2 于 2012-12-3 18:36 编辑

liangxy 发表于 2012-12-3 18:29
没看懂，楼主是说这个病毒过费尔了么？

给费尔杀了，我点清除了，估计费尔追它有一阵子，最后把它揪出来了。
清除后，资源管理器自动重启，SRS HD Audio Lab失效报错，但程序还在，没有关闭。Comodo Dragon这个也关闭掉了，清除后，重启了下，没有什么不良反应，各软件正常工作。

显示全部楼层 · 发表于 2012-12-3 18:37:20

wqcaokeyinwq 发表于 2012-12-3 18:31
过微点扫描。。
双击。。。弹出错误。。64位。。WIN7。。。以管理员省份运行会触发UAC报警。。黄色弹框

...

我是32位的Win7系统，升级到最新重要更新。

显示全部楼层 · 发表于 2012-12-3 19:36:40

费尔扫描miss

显示全部楼层 · 发表于 2012-12-3 20:37:59

360 没反应

显示全部楼层 · 发表于 2012-12-3 21:39:22

本帖最后由 31997 于 2012-12-3 21:45 编辑

两个样本都没毒

第二个样本：
文件信息
文件名称 :    PWMEWSVC.rar （本站不提供任何文件的下载服务）
文件大小 :    56595 byte
文件类型 :    RAR archive data, v1d, os
MD5 :    0e5a14461462fb272255373bd0eaa4d4
SHA1 :    0c8084d580dced119bda377f290bd1ba3ea3be90
扫描结果
扫描结果 :    全部的杀毒软件报告没有发现病毒!
时间 :    2012/12/03 21:30:59 (CST)
软件名称引擎版本病毒库版本病毒库时间扫描结果时间
a-squared 5.1.0.4 20121203180109 2012-12-03
-
9.447
AntiVir 8.2.10.202 7.11.50.58 2012-11-16
-
0.194
Arcavir 2011 201211301301 2012-11-30
-
3.628
Authentium 5.1.1 201209090949 2012-09-09
-
1.615
AVAST! 4.7.4 121202-0 2012-12-02
-
0.218
AVG 12.0.1794 2634/5434 2012-12-03
-
0.325
BitDefender 7.90123.8181566 7.44245 2012-12-03
-
4.409
ClamAV 0.97.5 15671 2012-12-03
-
0.166
Comodo 5.1 14415 2012-12-03
-
2.827
CP Secure 1.3.0.5 2012.12.03 2012-12-03
-
0.229
Dr.Web 7.0.4.9250 2012.12.03 2012-12-03
-
15.482
F-Prot 4.6.2.117 20121202 2012-12-02
-
1.671
F-Secure 7.02.73807 2012.12.03.02 2012-12-03
-
0.512
GData 22.6938 20121203 2012-12-03
-
6.762
Ikarus T3.1.32.20.0 2012.12.03.82899 2012-12-03
-
6.617
Microsoft 1.9002 2012.12.03 2012-12-03
-
3.886
NOD32 3.0.21 7757 2012-12-03
-
0.285
Norman 6.8.3 201208311030 2012-08-31
-
0.000
nProtect 20121202.01 12873794 2012-12-02
-
1.632
Quick Heal 11.00 2012.12.01 2012-12-01
-
1.129
Sophos 3.35.1 4.81 2012-12-03
-
6.168
Sunbelt 3.9.2552.2 14286 2012-12-02
-
1.359
The Hacker 6.8.0.0 v00141 2012-12-01
-
0.617
VBA32 3.12.18.4 20121203.0719 2012-12-03
-
4.294
ViRobot 20121203 2012.12.03 2012-12-03
-
0.584
VirusBuster 5.5.2.13 15.0.275.0/10405318 2012-12-03
-
0.343
卡巴斯基 5.5.10 2012.12.03 2012-12-03
-
0.427
安博士V3 2012.12.03.05 2012.12.03 2012-12-03
-
2.676
安天 2.0.18 2.0.18. 0002-18-00
-
0.179
江民杀毒 13.0.900 2012.12.03 2012-12-03
-
2.515
熊猫卫士 9.05.01 2012.12.02 2012-12-02
-
2.928
瑞星 20.0 24.38.06.03 2012-12-02
-
3.054
赛门铁克 1.3.0.24 20121202.007 2012-12-02
-
0.465
趋势科技 9.500-1005 9.568.04 2012-12-03
-
0.261
迈克菲 5400.1158 6914 2012-12-02
-
11.864
金山毒霸 2009.2.5.15 2012.12.3.9 2012-12-03
-
1.037
飞塔 4.3.392 16.549 2012-12-03
-
0.325
■Heuristic/Suspicious  ■Exact

火眼：http://fireeye.ijinshan.com/anal ... 0eaa4d4&type=1#

第一个样本：
文件信息
文件名称 :    00000002.rar （本站不提供任何文件的下载服务）
文件大小 :    61065 byte
文件类型 :    RAR archive data, v1d, os
MD5 :    e660819c5a7e25ab3ad8563821ce3598
SHA1 :    7673e14a12ec79495e77b2feb2896be2cd31e703
扫描结果
扫描结果 :    全部的杀毒软件报告没有发现病毒!
时间 :    2012/12/03 21:40:34 (CST)
软件名称引擎版本病毒库版本病毒库时间扫描结果时间
a-squared 5.1.0.4 20121203180109 2012-12-03
-
10.091
AntiVir 8.2.10.202 7.11.50.58 2012-11-16
-
0.179
Arcavir 2011 201211301301 2012-11-30
-
3.762
Authentium 5.1.1 201209090949 2012-09-09
-
1.480
AVAST! 4.7.4 121202-0 2012-12-02
-
0.201
AVG 12.0.1794 2634/5434 2012-12-03
-
0.251
BitDefender 7.90123.8181566 7.44245 2012-12-03
-
4.577
ClamAV 0.97.5 15671 2012-12-03
-
0.180
Comodo 5.1 14415 2012-12-03
-
2.719
CP Secure 1.3.0.5 2012.12.03 2012-12-03
-
0.173
Dr.Web 7.0.4.9250 2012.12.03 2012-12-03
-
15.298
F-Prot 4.6.2.117 20121202 2012-12-02
-
0.873
F-Secure 7.02.73807 2012.12.03.02 2012-12-03
-
0.236
GData 22.6938 20121203 2012-12-03
-
6.374
Ikarus T3.1.32.20.0 2012.12.03.82899 2012-12-03
-
7.694
Microsoft 1.9002 2012.12.03 2012-12-03
-
3.801
NOD32 3.0.21 7757 2012-12-03
-
0.197
Norman 6.8.3 201208311030 2012-08-31
-
0.000
nProtect 20121202.01 12873794 2012-12-02
-
1.678
Quick Heal 11.00 2012.12.01 2012-12-01
-
1.075
Sophos 3.35.1 4.81 2012-12-03
-
5.165
Sunbelt 3.9.2552.2 14286 2012-12-02
-
1.090
The Hacker 6.8.0.0 v00141 2012-12-01
-
0.617
VBA32 3.12.18.4 20121203.0719 2012-12-03
-
3.767
ViRobot 20121203 2012.12.03 2012-12-03
-
0.371
VirusBuster 5.5.2.13 15.0.275.0/10405318 2012-12-03
-
0.276
卡巴斯基 5.5.10 2012.12.03 2012-12-03
-
0.271
安博士V3 2012.12.03.05 2012.12.03 2012-12-03
-
4.254
安天 2.0.18 2.0.18. 0002-18-00
-
0.179
江民杀毒 13.0.900 2012.12.03 2012-12-03
-
2.155
熊猫卫士 9.05.01 2012.12.02 2012-12-02
-
6.266
瑞星 20.0 24.38.06.03 2012-12-02
-
0.261
赛门铁克 1.3.0.24 20121202.007 2012-12-02
-
0.449
趋势科技 9.500-1005 9.568.04 2012-12-03
-
0.204
迈克菲 5400.1158 6914 2012-12-02
-
9.567
金山毒霸 2009.2.5.15 2012.12.3.9 2012-12-03
-
0.909
飞塔 4.3.392 16.549 2012-12-03
-
0.147
■Heuristic/Suspicious  ■Exact

火眼：http://fireeye.ijinshan.com/analyse.html?md5=e660819c5a7e25ab3ad8563821ce3598&type=1#

显示全部楼层 · 发表于 2012-12-4 00:04:46

我的bd拦截了 avc老姐成功

显示全部楼层 · 发表于 2012-12-4 08:24:01

本帖最后由 mp2mp2 于 2012-12-4 08:25 编辑

难道剥离出来的尸体没有了毒性

[费尔] 昨天说不中毒，今天马上来一个，亲们，你们有事做了。

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源