我去了，，病毒十分强悍，这仅仅是衍生物，实在没找到根源

OAKESS

dongwenqi 发表于 2014-12-30 16:24
@OAKESS

Kaspersky Kill 4  剩余已上报

幽冥の龙

发现几个行为都是先 生成 svchobst.exe
你看下 C:\Windows\svchobst.exe  有没有，有就删掉，或者干脆全盘搜索 svchobst.exe
临时文件夹里应该还有大量svchobst.exe生成的其他衍生物，名字是  随机数字_IEFile.exe  全去删了
启动项有可疑的也清理掉

建议弄个hips软件  建立规则
*.exe
阻止创建与写入 即可定位母体

XywCloud

Baidu Antivirus杀了1个

2314805817

即使杀完了，系统也无法使用了
全盘格，重建MBR
再重装

真小读者

木马名称：Trojan.Win32.Agent.vqp

程序：
E:\我的下载\新建 WINRAR 压缩文件\GAUMQ.EXE
是木马程序!

请选择处理方式!


木马名称：Trojan.Win32.Agent.vqp

程序：
E:\我的下载\新建 WINRAR 压缩文件\GOOEW.EXE
是木马程序!

请选择处理方式!


木马名称：Trojan.Win32.Agent.vqp

程序：
E:\我的下载\新建 WINRAR 压缩文件\IXTWA.EXE
是木马程序!

请选择处理方式!


木马名称：Trojan.Win32.Agent.vqp

程序：
E:\我的下载\新建 WINRAR 压缩文件\EEOCU.EXE
是木马程序!

请选择处理方式!

幽冥の龙

2314805817 发表于 2014-12-30 17:38
即使杀完了，系统也无法使用了
全盘格，重建MBR
再重装

没那么严重吧，就上传的这些来看又不是感染样本
重装系统没用未必是MBR的问题，因为就他上传的这些来看 只要运行就会往C盘释放文件，然后再运行被释放的文件，所以 只要其他盘还存在样本并且被运行，C盘无论重装多少次都没用

有个HIPS应该就能搞定的，而且这些样本也没有破坏系统

感觉像刷流量访问量之类的。。反正和网络有关→_→ 虚拟机运行后 实机网络都受到影响了，网页打不开，断开虚拟机的网络后才正常
火绒剑监控到了大量的网络连接行为 几秒钟就上万个连接

baianning1993

欧阳宣 发表于 2014-12-30 16:06
Dropped:Generic.Malware.SFdld.9C61587D (4x) (引擎A)

麻烦给压缩包加个密码

版大重回GD了？

hzz2009

30.12.2014 19.00.08;检测到的对象（文件）不活动;https://att.kafan.cn/forum.php?mo ... ojan.Win32.Generic;木马程序;12/30/2014 19:00:08

欧阳宣

baianning1993 发表于 2014-12-30 18:29
版大重回GD了？

暂时重回了- -

275751198

楼主您好，尝试下联网用急救箱，勾选强力模式，进程管制和全盘扫描多杀几次试试