刚在自己电脑里面用HIPS抓的，Avast没反应~！

显示全部楼层 · 发表于 2008-2-23 14:43:37

这个东东不是新东西了，感染我有一阵子了！1月份的时候电脑经常会出现IE自动连接一个远程地址的问题，而且这个IE进程被设定为隐藏进程~！我的jetico可以发现这个外联的动作（process attack我没开），当时有事，就没理他~！
今天终于有点空了，于是装了PS，想看看到底是什么东东在搞鬼~！于是发现了这几个东东~~~suchost是在系统文件夹system32\wbem下面，其它几个dll文件都是在system32下面，msvbirt16，msvbirt32插入了很多进程，剩下两个的创建时间也是近期，而且没有签名~！大家看看，到底是不是木马~~~~

因为PS安装以后，默认是学习模式，其中suchost自动创建的规则就是安装钩子+键盘记录…………

显示全部楼层 · 发表于 2008-2-23 14:44:37

4个。

Begin scan in 'C:\Documents and Settings\haha\桌面\suchost[MD5-8200C02EE6BDD5E564E8D4B8F63175B0].rar'
C:\Documents and Settings\haha\桌面\suchost[MD5-8200C02EE6BDD5E564E8D4B8F63175B0].rar
  [0] Archive type: RAR
  --> suchost.exe
   [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
  --> msvbirt16.dll
   [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
  --> msvbirt32.dll
   [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
  --> odbdlg.dll
   [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
   [INFO]    A backup was created as '4822c158.qua'  ( QUARANTINE )

显示全部楼层 · 发表于 2008-2-23 14:47:41

跑不起来

显示全部楼层 · 发表于 2008-2-23 14:51:18

不知道如何跑起来，在我这用工具查看进程，能够看到suchost进程~~~~~

难道还有其他的进程…………

显示全部楼层 · 发表于 2008-2-23 14:54:27

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.Win32.Undef.cet

用户来源：互联网

软件版本：20.32.50

是病毒希望楼主尽快清理

显示全部楼层 · 发表于 2008-2-23 15:20:39

ESET 4
C:\Documents and Settings\软件学院\桌面\suchost[MD5-8200C02EE6BDD5E564E8D4B8F63175B0].rar>RAR>suchost.exe - Win32/Pacex.Gen 病毒
C:\Documents and Settings\软件学院\桌面\suchost[MD5-8200C02EE6BDD5E564E8D4B8F63175B0].rar>RAR>msvbirt16.dll - Win32/Pacex.Gen 病毒
C:\Documents and Settings\软件学院\桌面\suchost[MD5-8200C02EE6BDD5E564E8D4B8F63175B0].rar>RAR>msvbirt32.dll - Win32/Pacex.Gen 病毒
C:\Documents and Settings\软件学院\桌面\suchost[MD5-8200C02EE6BDD5E564E8D4B8F63175B0].rar>RAR>odbdlg.dll - Win32/Pacex.Gen 病毒

显示全部楼层 · 发表于 2008-2-23 15:25:29

BD 4

显示全部楼层 · 发表于 2008-2-23 16:28:32

帕克斯……

显示全部楼层 · 发表于 2008-2-23 17:07:36

显示全部楼层 · 发表于 2008-2-23 17:19:09

费尔杀了四个，卡巴一个都没报

[病毒样本] 刚在自己电脑里面用HIPS抓的，Avast没反应~！

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块