2病毒突破2009诺顿防线

lllc51

早上开着遨游2窗口切换打辐射2，结果一会而不到遨游就开始乱弹些广告和带木马网站，在看进程发现出现2个陌生的进程 hh.exe 和 taskmagr.exe ，去网上一查是病毒进程然后发现诺顿ccsvchst内存和CPU占用很高占到％65的CPU和1G的内存但是还能扫描，对病毒进程无反应，更新是最新，现在试试装卡巴看杀的了不。

leebye

hh.exe
hh - hh.exe - 进程信息
进程文件： hh 或者 hh.exe


进程名称： Microsoft Windows Help

描述：
hh.exe是微软Windows帮助工具，用于你使用帮助。


出品者： Microsoft Corp.
属于： Microsoft Windows Help

系统进程： 否
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否
参考资料：http://baike.baidu.com/view/597347.htm

进程文件： taskmgr 或者 taskmgr.exe
　　进程名称： The Windows Task Manager.
　　描述：taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
　　出品者：Microsoft Corp.
　　属于：Windows
　　系统进程：是
　　后台程序：是
　　使用网络：否
　　硬件相关：否
　　常见错误：未知N/A
　　内存使用：未知N/A
　　安全等级 (0-5): 0
　　间谍软件：否
　　Adware: 否
　　病毒： 否
　　木马： 否
　　流氓软件：否

单看文件名应该都是正常文件，并不陌生才是。弹窗可能跟其他有关，虽然这两个程序也有可能被感染。你打开任务管理器看进程肯定会有taskmagr.exe这个进程的，hh.exe是如果你开启了windows帮助文件或者察看chm格式文件的时候会出现。

gf99932

hh.exe如果再看chm电子书，就会出现，好像MS的帮助程序也是这个进程，taskmagr.exe任务管理器进程

lllc51

已经用卡巴杀下杀出个木马，hh.exe是我搞错了，taskmagr.exe应该是木马卡巴都杀不掉强制也关不掉它会自动在启动，我的任务管理器是taskmgr.exe不是它

[ 本帖最后由 lllc51 于 2008-11-4 12:37 编辑 ]

wuxiljm

样本能否上传？

gf99932

taskmagr.exe这个是我没注意，先道歉了。

lllc51

倒怎么上传不了这个附件说什么目录不对，源程序我看了下创建日期和其他程序是一样的，好奇怪啊，难道它是系统盘里就带的？

lllc51

总算是用冰刃干掉了，诺顿的杀马能力感觉还是不成熟。

火球

还是小心为上

wudiwusuowei

原帖由 lllc51 于 2008-11-4 13:33 发表
总算是用冰刃干掉了，诺顿的杀马能力感觉还是不成熟。

你说的话很好玩，什么叫杀马不成熟，你说说什么杀马成熟，我来试试哪个杀马成熟。
这个世界上难道只有木马？你把病毒的分类搞清楚了，再来说话。