遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1
来源:互联网 发布:基于mfc的socket编程 编辑:程序博客网 时间:2024/05/01 01:23
遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1
endurer 原创2008-06-20 第1版
一位朋友的电脑,最近电脑反应很慢,瑞星查杀出病毒,清除后一次开机又出现。另外,系统经常提示系统文件被替换,提示插入系统光盘进行恢复。请偶帮忙处理。 打开任务管理器,发现一个名为 1.exe 的进程占用了大量的CPU时间,先终止了。 使用 pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-04-26 by Purple Endurer 2008-6-16 16:15:56 Windows XP Service Pack 2(5.1.2600) MSIE:6.0.2900.2180 管理员用户组 正常模式 C:/WINDOWS/System32/SVCHOST.EXE* 996 | 2004-8-23 8:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe c:/windows/system32/bitsex.dll | 2004-8-17 12:0:0 | svchost | 5.1.2600.2180 | Microsoft SNMP Manager API (uses WinSNMP) | Copyright @ 2004 | 5.1.2600.2180 | @ Microsoft Corporation. All rights reserved. | | svchost | svchost.dll C:/WINDOWS/System32/shared/smss.exe * 1664 | 2008-6-16 2:44:14 C:/WINDOWS/System32/SVCHOST.EXE* 1696 | 2004-8-23 8:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe c:/program files/myrat/myrat.rmvb | 2008-6-16 2:44:19 | | 1.0.0.0 | | | 1.0.0.500 | | | | C:/WINDOWS/System32/shared/services.exe * 328 | 2008-6-16 8:6:37 F2 - REG: system.ini: UserInit = <USERINIT.EXE ,,C:/WINDOWS/system32/Kinds/1.exe> O23 - 服务: ADHelper (Active Directory Helper) - C:/WINDOWS/system32/shared/smss.exe | 2008-6-16 2:44:14(自动) O23 - 服务: BITS (Background Intelligent Transfer Service) - C:/WINDOWS/system32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/BITSEx.dll | 2004-8-17 12:0:0 | svchost | 5.1.2600.2180 | Microsoft SNMP Manager API (uses WinSNMP) | Copyright @ 2004 | 5.1.2600.2180 | @ Microsoft Corporation. All rights reserved. | | svchost | svchost.dll(自动) O23 - 服务: COM+ Event (COM+ Event irat) - C:/WINDOWS/System32/svchost.exe -k krnlsrvc -> C:/Program Files/myRAT/myRAT.rmvb | 2008-6-16 2:44:19 | | 1.0.0.0 | | | 1.0.0.500 | | | | (自动) O23 - 服务: Drivers Desktop (Drivers Desktop Management) - C:/WINDOWS/system32/explore.exe | 2008-6-13 4:14:2(自动) O23 - 服务: Microsoftpvsy (Microsoftpvsy) - C:/WINDOWS/DOVA | 2008-6-16 2:44:38(自动)
从log 上看,先前终止的进程1.exe对应的文件是 C:/WINDOWS/system32/Kinds/1.exe
(未完待续)
- 遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1
- 遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等2
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等1
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等2
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等3
- auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等1
- auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2
- 遭遇Worm.Win32.Agent.o、Backdoor.Win32.SnooperYb.b等
- Backdoor.Win32.Hupigon.cj[AVP]
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1
- 遭遇 Backdoor.Win32.Agent.amb / serivces.exe
- Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等1
- Backdoor.Win32.Agent.ahj(backdoor.agent.ahj
- 遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2
- 斩杀灰鸽子Backdoor.Gpigeon.gqs/Backdoor.Win32.Hupigon.cce等
- Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2
- 遭遇 gjlbj.vya / Trojan.Win32.Agent.kle 等1
- 嘴巴难受,口水超多
- linuxbbs
- eclipse中ext插件安装方法
- ASP.NET中的27个常用函数
- 代码的运行时存储(嵌入式实验板区别与PC)
- 遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1
- [OpenSolaris][kernel]Solaris内核加载设备驱动过程
- 一篇比较全面的Flash&Flex相关技术资源大全
- AS3.0(ActionScript 3.0)的开发工具
- 人物信息的网络检索途径与方法
- MySQL导出导入命令的用例
- w3c标准自适应高度height100%不起作用的问题
- C++编程小练习(三)选择法排序
- 请不要做浮躁的嵌入式系统工程师(谨以此文与大家共勉)