1x 下载者 1x注入器（杀不出请上报）

显示全部楼层 · 发表于 2009-1-11 08:03:11

在网友上报日志，发现的毒网下载的！其下载的病毒好像是映像劫持，卡巴也在映像劫持的行列之中（改变了一下那个网址后面的文件链接，居然还真有zhuruqi.exe这个病毒文件,附上）

O31 - 未知 - Image Execution: AgentSrv.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: ArSwp.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: avp.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: CCenter.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: ccSvcHst.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: egui.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: ekrn.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: Frogagent.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: kvdetect.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: KvHistory.kxp - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: KVMonXP.kxp - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: kvsrvxp.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: KvXP.kxp - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: Mcshield.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: MPMon.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: MPStart.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: MPSVC.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167
O31 - 未知 - Image Execution: MPSVC1.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: MPSVC2.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: ras.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: Rav.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: RavMon.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: RavMonD.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: RfwMain.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: rfwProxy.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: rfwsrv.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: rfwstub.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: RSTray.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: runiep.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: shstat.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: srck.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: srgui.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: sriecli.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: srieh.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: UlibCfg.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: VsTskMgr.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

O31 - 未知 - Image Execution: WoptiUtilities.exe - C:\WINDOWS\system32\zhuruqi.exe -  -  -  - 29827 - 01c2b4acf5ae6f148b1ee53f67a3c167

[ 本帖最后由 FLogo 于 2009-1-11 08:53 编辑 ]

显示全部楼层 · 发表于 2009-1-11 08:06:57

TR/Crypt.XPACK.Gen' [trojan]

显示全部楼层 · 发表于 2009-1-11 08:21:40

程序：

C:\SANDBOX\ADMINISTRATOR\DEFAULTBOX\USER\CURRENT\LOCAL SETTINGS\TEMP\7ZO3.TMP\SVCHOSI.EXE
是可疑程序!
试图修改系统时间!
是否阻止该进程继续运行?

显示全部楼层 · 发表于 2009-1-11 09:15:11

好像两个病毒都是同一个的呀？

不过，病毒编写者为什么要写两个程序呢？写一个不就可以了吗？

我是弄不懂啦，怎么今天都没人上报,这两个文件我可是没有上报哦！

显示全部楼层 · 发表于 2009-1-11 09:20:54

mp kill avira kill

显示全部楼层 · 发表于 2009-1-11 09:32:52

下一个测试测试

显示全部楼层 · 发表于 2009-1-11 10:06:46

TO KL ，ESET

显示全部楼层 · 发表于 2009-1-11 10:11:57

KV RISING ALL MISS

我还应该支持国产吗？

显示全部楼层 · 发表于 2009-1-11 10:16:08

KV09全过

上报先

。楼上有人啦，你上报得了。。

显示全部楼层 · 发表于 2009-1-11 10:22:55

单用微点时虽然已经提示修改时间但是依然被改为2005年，微点之前没有勾选锁定时间

[病毒样本] 1x 下载者 1x注入器（杀不出请上报）

本帖子中包含更多资源

xi下一个测试测试

评分

回复 5楼 wsmurderer 的帖子