两个无缘无故跑到我电脑里的～～

显示全部楼层 · 发表于 2009-4-12 19:08:32

好久以前就发现了，当时ESS+网盾无视，现在用小红伞隔离～～

补充：taskngr.rar 这个东东不断出现，小红伞也不断隔离～～什么东西哦！

[ 本帖最后由 12314226 于 2009-4-12 19:19 编辑 ]

显示全部楼层 · 发表于 2009-4-12 19:13:16

D:\kafan\spoolsc.rar/spoolsc.exe 已检测: Gen.Trojan!IK
D:\kafan\taskngr.rar/taskngr.exe 已检测: Gen.Trojan!IK

显示全部楼层 · 发表于 2009-4-12 19:21:14

TO DW

显示全部楼层 · 发表于 2009-4-12 19:21:46

这个spoolsc想干什么？占我50cpu，没有任何动作？

显示全部楼层 · 发表于 2009-4-12 19:24:55

这个是之前发过的：
不知怎么回事，以前装ess+网盾在C:\Program Files目录下出现spoolsc.exe（还有微软字样）,还有uusee安装软件，不久又自动给我装上了风行网络电影，还有一个只记得是Z开头的很长名字的软件，这个软件还自动出现在我的进程里面！
重装系统后装了小红伞，不久发现C:\Program Files\spoolsc.exe直接被小红伞隔离了，其他的软件就再也没出现了，不过还经常能看到uusee的配置文件出现在C:\Program Files目录下。

显示全部楼层 · 发表于 2009-4-12 19:34:55

一样，我这也没有动作~~``

显示全部楼层 · 发表于 2009-4-12 19:35:17

To KL

显示全部楼层 · 发表于 2009-4-12 19:36:25

占楼分析

taskngr.exe是主程序
spoolsc.exe是生成物

明显的downloader 动作很多楼主当心啊你应该已经中了木马群....（忘了..红伞给隔离了...不过万一漏了一个...）

2009-4-12 19:40:15 创建新进程允许
进程: c:\program files\spoolsc.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
规则: [应用程序]* -> [子应用程序]*

2009-4-12 19:40:16 修改其他进程的内存允许
进程: c:\program files\spoolsc.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2009-4-12 19:40:17 修改其他进程的内存允许
进程: c:\program files\spoolsc.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2009-4-12 19:40:18 修改其他进程的内存允许
进程: c:\program files\spoolsc.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2009-4-12 19:40:18 修改其他进程的线程允许
进程: c:\program files\spoolsc.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2009-4-12 19:40:21 创建新进程允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\ctfmon.exe
命令行: ctfmon.exe
规则: [应用程序]* -> [子应用程序]*

2009-4-12 19:40:23 修改其他进程的内存允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

2009-4-12 19:40:24 修改其他进程的内存允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

2009-4-12 19:40:27 创建新进程阻止
进程: c:\program files\spoolsc.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /pid 1352
规则: [应用程序]* -> [子应用程序]*

2009-4-12 19:40:28 修改其他进程的内存允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

2009-4-12 19:40:30 创建注册表项阻止
进程: c:\program files\spoolsc.exe
目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\spoolsc\set
规则: [注册表组]其他重要键值 -> [注册表]HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*

2009-4-12 19:40:32 修改其他进程的线程阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\ctfmon.exe
规则: [应用程序]*

2009-4-12 19:40:34 创建注册表项阻止
进程: c:\program files\spoolsc.exe
目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\spoolsc
规则: [注册表组]其他重要键值 -> [注册表]HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*

2009-4-12 19:40:37 修改注册表值阻止
进程: c:\windows\system32\ctfmon.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe
值: C:\WINDOWS\system32\ctfmon.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2009-4-12 19:40:38 创建注册表项阻止
进程: c:\program files\spoolsc.exe
目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\spoolsc\set
规则: [注册表组]其他重要键值 -> [注册表]HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*

2009-4-12 19:40:39 底层磁盘操作阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: \Device\Ide\IdePort0
规则: [应用程序]*

2009-4-12 19:40:40 删除注册表值阻止
进程: c:\windows\system32\ctfmon.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2009-4-12 19:40:45 创建注册表项阻止
进程: c:\program files\spoolsc.exe
目标: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\spoolsc
规则: [注册表组]其他重要键值 -> [注册表]HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*

2009-4-12 19:40:46 底层磁盘操作阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: \Device\Ide\IdePort0
规则: [应用程序]*

2009-4-12 19:40:55 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054[1].exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:40:57 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQ.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:40:58 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHG.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:00 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPO.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:01 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0W.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:02 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQS.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:03 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQSCAL3HLWK.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:04 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQSCAL3HLWKCA0OXARP.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:05 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQSCAL3HLWKCA0OXARPCA5Q6Q52.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:06 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQSCAL3HLWKCA0OXARPCA5Q6Q52CARPK4YF.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:07 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQSCAL3HLWKCA0OXARPCA5Q6Q52CARPK4YFCAVYIEFP.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:10 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6PWZO3N3\UUSEE_heima_Setup_139054CAI616TQCAMRTNHGCAJ7JKPOCAIHGJ0WCAXG2AQSCAL3HLWKCA0OXARPCA5Q6Q52CARPK4YFCAVYIEFPCA6IVF25.exe
规则: [文件组]FD_可执行文件 -> [文件]*; *.exe

2009-4-12 19:41:38 创建文件阻止
进程: c:\program files\spoolsc.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\杀毒模块.lnk
规则: [文件组]自动运行程序所在位置 -> [文件]c:\documents and settings\administrator\「开始」菜单\程序\启动

[ 本帖最后由 lingbo110120 于 2009-4-12 19:48 编辑 ]

显示全部楼层 · 发表于 2009-4-12 19:36:27

2009-04-12 19:36:16 创建文件操作:阻止并结束进程
进程路径:E:\virus\taskngr.exe
文件路径:C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
触发规则:应用程序规则->02-允许修改的程序->*.*->%windir%\*

显示全部楼层 · 发表于 2009-4-12 19:39:42

费尔 TrojanDownloader.VB.zpq.ogtk x2

[病毒样本] 两个无缘无故跑到我电脑里的～～

本帖子中包含更多资源

回复 4楼 wsmurderer 的帖子

本帖子中包含更多资源