两个感染型病毒

显示全部楼层 · 发表于 2011-4-14 16:27:32

回复 25楼星空下的吻的帖子

不要病毒库？
木马墙可以搞定是吧！
剑盟那帖我看了
那人是中毒后，才想到瑞星的
所以，病毒都接管底层驱动了，根本不可能让瑞星启动

显示全部楼层 · 发表于 2011-4-14 16:27:59

回复 27楼李不知的帖子

xt和sophos anti-rootkit 两个都用...重启后,没有杀出病毒!还是中毒状态! 最后拿出快照对比...格杀勿论!

显示全部楼层 · 发表于 2011-4-14 16:31:08

回复 32楼 liulangzhecgr 的帖子

这个病毒真是牛
感染情况下，除能明确知道哪个病毒，并找到其专杀了

显示全部楼层 · 发表于 2011-4-14 16:38:49

回复 31楼李不知的帖子

根本无压力,迅速kill 未知蠕虫我的病毒库一直都在4.2 那次防火墙驱动更新后

显示全部楼层 · 发表于 2011-4-14 16:48:36

开机启动程序被病毒感染...
以前很少病毒感染NPE,可这一次不同!连tdsskiller 都感染!
我把杀毒工具的扩展名改成pif...可很多都被感染! 也有没有被感染的!

显示全部楼层 · 发表于 2011-4-14 16:55:20

回复 34楼星空下的吻的帖子

无解，谁叫他原先装的不是瑞星呢！中毒后才想到瑞星，瑞星也无解！

显示全部楼层 · 发表于 2011-4-14 17:01:25

2011-4-14 16:57:32 修改注册表值阻止并结束进程
进程: d:\program files\viurs\secrematic sc-300k.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000002(2)
规则: [注册表组][RD]危险恶意修改项（阻止并结束） -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced; Hidden

2011-4-14 16:57:38 修改注册表值阻止并结束进程
进程: d:\program files\viurs\system.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000002(2)
规则: [注册表组][RD]危险恶意修改项（阻止并结束） -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced; Hidden

显示全部楼层 · 发表于 2011-4-14 17:30:21

李不知发表于 2011-4-14 16:18
回复 24楼 liulangzhecgr 的帖子

然后，再说说感染后的

貌似nis能修复的npe也能修复吧，最好哪位来测一下

显示全部楼层 · 发表于 2011-4-14 17:33:03

MCAFEE个人版KILL

显示全部楼层 · 发表于 2011-4-14 18:12:59

本帖最后由英仔于 2011-4-14 18:13 编辑

毒眼全秒

文件的位置: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SECREMATIC SC-300K.EXE
<启动方式>  :  不能自动启动
<当前状态>  :  文件已被删除

运行次数 :  2    首次运行 : 2011-03-03 02:43:47    最近运行 : 2011-03-03 02:43:47

   文件传递和复制记录:
-------------------------------------------------------------

时间 : 3- 3  2:43:48
执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SECREMATIC SC-300K.EXE
动作说明 : 疑似复制
源文件 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\00116C63_RAR\SECREMATIC SC-300K.EXE
目标文件 : C:\WINDOWS\AUTORUN.INF

   文件移动(改名)经过:
-------------------------------------------------------------

      修改时间 : 2011-03-03 02:43:38
      旧文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\VMWAREDND\6CAFC55B\SECREMATIC SC-300K.EXE
      新文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SECREMATIC SC-300K.EXE
      执行者 : C:\WINDOWS\EXPLORER.EXE

   网络连接数 : 1
-------------------------------------------------------------
连接的所有IP及参考地址:
   255.255.255.255 (未知地址)

详细记录(这里列举最多1000条):
连接完成时间    对方IP          持续时间(秒) 接收字节数发送字节数  参考地址          网址
-------------------------------------------------------------------------------------------------
3- 3  2:43:48  255.255.255.255 0          0       0                            ppt.th.gs

   运行记录:
-------------------------------------------------------------

      启动时间: 2011-03-03 02:43:47
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数:  C:\Documents and Settings\Administrator\桌面\SecreMatic sc-300k.exe

      启动时间: 2011-03-03 02:43:47
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数: API 方式加载

   文件变更过程:
-------------------------------------------------------------

      操作者 : C:\WINDOWS\EXPLORER.EXE
      操作时间 : 2011-03-03 02:43:38
      操作类型 : 新建

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-03-03 02:43:52
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-03-03 02:43:52
      操作类型 : 删除

   该程序操作的文件(共7)
-------------------------------------------------------------

      文件名 : C:\WINDOWS\SYSTEM32\MSMSGS.EXE
      时间 : 2011-03-03 02:43:48
      动作 : 新建

      文件名 : C:\WINDOWS\AUTORUN.INF
      时间 : 2011-03-03 02:43:48
      动作 : 新建

      文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\00116C63_RAR\SECREMATIC SC-300K.EXE
      时间 : 2011-03-03 02:43:47
      动作 : 新建

      文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\ESCOUT.EXE
      时间 : 2011-03-03 02:43:48
      动作 : 删除

      文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\ESCOUT.EXE
      时间 : 2011-03-03 02:43:48
      动作 : 删除

      文件名 : C:\1173E5
      时间 : 2011-03-03 02:43:49
      动作 : 删除

      文件名 : C:\1173E5
      时间 : 2011-03-03 02:43:49
      动作 : 新建

   注册表操作(共11)
-------------------------------------------------------------

      操作时间 : 2011-03-03 02:43:47
      行    为 : 添加
      键    值 : HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST\
      值    名 : C:\Documents and Settings\Administrator\桌面\SecreMatic sc-300k.exe
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\Documents and Settings\Administrator\桌面\SecreMatic sc-300k.exe:*:Enabled:ipsec

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS1
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\system.exe

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS2
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\bad1.exe

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS3
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\bad2.exe

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS4
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\bad3.exe

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : Msmsgs
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\Msmsgs.exe

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\
      值    名 : ShowSuperHidden
      类    型 : REG_SZ
      旧    值 :
      新    值 :

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\
      值    名 : NoFind
      类    型 : REG_SZ
      旧    值 :
      新    值 :

      操作时间 : 2011-03-03 02:43:48
      行    为 : 添加
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\
      值    名 : NoFolderOptions
      类    型 : REG_SZ
      旧    值 :
      新    值 :

      操作时间 : 2011-03-03 02:43:48
      行    为 : 设置
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\
      值    名 : NoDriveTypeAutoRun
      类    型 : REG_DWORD
      旧    值 : 0x00000091
      新    值 : 0x0000005B

      操作时间 : 2011-03-03 02:43:48
      行    为 : 设置
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\
      值    名 : SavedLegacySettings
      类    型 : REG_BINARY
      旧    值 : 3C0000000A000000010000000000000000000000000000000400000000000000A091B6663DC9CB0101000000C0A82580000000000000000000
      新    值 : 3C0000000B000000010000000000000000000000000000000400000000000000A091B6663DC9CB0101000000C0A825800000000000000000
文件的位置: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SYSTEM.EXE
<启动方式>  :  不能自动启动
<当前状态>  :  文件已被删除

运行次数 :  2    首次运行 : 2011-03-03 02:43:56    最近运行 : 2011-03-03 02:43:56

   文件传递和复制记录:
-------------------------------------------------------------

时间 : 3- 3  2:43:57
执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SYSTEM.EXE
动作说明 : 疑似复制
源文件 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\00118FC9_RAR\SYSTEM.EXE
目标文件 : C:\WINDOWS\AUTORUN.INF

   文件移动(改名)经过:
-------------------------------------------------------------

      修改时间 : 2011-03-03 02:43:23
      旧文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\VMWAREDND\6CAFC55B\SYSTEM.EXE
      新文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SYSTEM.EXE
      执行者 : C:\WINDOWS\EXPLORER.EXE

   运行记录:
-------------------------------------------------------------

      启动时间: 2011-03-03 02:43:56
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数:  C:\Documents and Settings\Administrator\桌面\system.exe

      启动时间: 2011-03-03 02:43:56
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数: API 方式加载

   文件变更过程:
-------------------------------------------------------------

      操作者 : C:\WINDOWS\EXPLORER.EXE
      操作时间 : 2011-03-03 02:43:23
      操作类型 : 新建

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-03-03 02:44:05
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-03-03 02:44:05
      操作类型 : 删除

   该程序操作的文件(共7)
-------------------------------------------------------------

      文件名 : C:\WINDOWS\AUTORUN.INF
      时间 : 2011-03-03 02:43:57
      动作 : 新建

      文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\00118FC9_RAR\SYSTEM.EXE
      时间 : 2011-03-03 02:43:57
      动作 : 新建

      文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\00116C63_RAR
      时间 : 2011-03-03 02:43:57
      动作 : 删除

      文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\ESCOUT.EXE
      时间 : 2011-03-03 02:43:58
      动作 : 删除

      文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\ESCOUT.EXE
      时间 : 2011-03-03 02:43:58
      动作 : 删除

      文件名 : C:\1197B9
      时间 : 2011-03-03 02:43:59
      动作 : 删除

      文件名 : C:\1197B9
      时间 : 2011-03-03 02:43:59
      动作 : 新建

   该文件运行的所有程序:
-------------------------------------------------------------

      程序路径 : C:\WINDOWS\EXPLORER.EXE
      运行时间 : 2011-03-03 02:43:57
      运行参数 : C:\WINDOWS\explorer.exe

      程序路径 : C:\WINDOWS\SYSTEM32\NET.EXE
      运行时间 : 2011-03-03 02:44:07
      运行参数 : net start escoutservice1

      程序路径 : C:\WINDOWS\SYSTEM32\NET1.EXE
      运行时间 : 2011-03-03 02:44:07
      运行参数 : net1 start escoutservice1

   注册表操作(共7)
-------------------------------------------------------------

      操作时间 : 2011-03-03 02:43:56
      行    为 : 添加
      键    值 : HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\STANDARDPROFILE\AUTHORIZEDAPPLICATIONS\LIST\
      值    名 : C:\Documents and Settings\Administrator\桌面\system.exe
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\Documents and Settings\Administrator\桌面\system.exe:*:Enabled:ipsec

      操作时间 : 2011-03-03 02:43:57
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS1
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\system.exe

      操作时间 : 2011-03-03 02:43:57
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS2
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\bad1.exe

      操作时间 : 2011-03-03 02:43:57
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS3
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\bad2.exe

      操作时间 : 2011-03-03 02:43:57
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : SYS4
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\bad3.exe

      操作时间 : 2011-03-03 02:43:57
      行    为 : 添加
      键    值 : HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
      值    名 : Msmsgs
      类    型 : REG_SZ
      旧    值 :
      新    值 : C:\WINDOWS\system32\Msmsgs.exe

      操作时间 : 2011-03-03 02:43:57
      行    为 : 添加
      键    值 : HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\
      值    名 : ShowSuperHidden
      类    型 : REG_SZ
      旧    值 :
      新    值 :

[病毒样本] 两个感染型病毒