微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 不知这些文件出了什么问题?  

作者:
标题: 不知这些文件出了什么问题?
Rybka
注册用户





积分 51
发帖 51
注册 2007-1-4
#1  不知这些文件出了什么问题?

用木马克星扫描发现:
D:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe 文件被捆绑
D:\WINDOWS\system32\calc.exe 文件被捆绑
D:\WINDOWS\system32\clipbrd.exe 文件被捆绑
D:\WINDOWS\system32\cmstp.exe 文件被捆绑
D:\WINDOWS\system32\lights.exe 文件被捆绑
D:\WINDOWS\system32\mobsync.exe 文件被捆绑
D:\WINDOWS\system32\netsetup.exe 文件被捆绑
D:\WINDOWS\system32\nslookup.exe 文件被捆绑
D:\WINDOWS\system32\ntsd.exe 文件被捆绑
D:\WINDOWS\system32\packager.exe 文件被捆绑
D:\WINDOWS\system32\perfmon.exe 文件被捆绑
D:\WINDOWS\system32\progman.exe 文件被捆绑
D:\WINDOWS\system32\rtcshare.exe 文件被捆绑
D:\WINDOWS\system32\syncapp.exe 文件被捆绑
D:\WINDOWS\system32\sysocmgr.exe 文件被捆绑
D:\WINDOWS\system32\telnet.exe 文件被捆绑
D:\WINDOWS\system32\winchat.exe 文件被捆绑
D:\WINDOWS\system32\wpabaln.exe 文件被捆绑
D:\WINDOWS\system32\write.exe 文件被捆绑
D:\WINDOWS\system32\IME\CINTLGNT\CINTSETP.EXE 文件被捆绑
D:\WINDOWS\system32\IME\PINTLGNT\PINTLPHR.EXE 文件被捆绑
D:\WINDOWS\system32\oobe\oobebaln.exe 文件被捆绑

请问Legend,这些文件要不要上传分析?

※ ※ ※ 本文纯属【Rybka】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-21 15:45
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请问楼主是否安装了微点,微点是否报警,如果没有报警,请问楼主微点的版本是多少.并把文件发到virus@micropoint.com.cn,我们具体分析测试一下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-2-21 16:01
查看资料  发短消息   编辑帖子
Rybka
注册用户





积分 51
发帖 51
注册 2007-1-4
#3  

Legend, 你来得正好,我早就安装了微点,刚才分析了木马克星发现的被捆绑的calc.exe的过程中,发现以下问题:

1。system32目录下,有Calc.exe 和 Calc~.exe两个文件,我用无忧捆绑文件探测器检测Calc.exe时,发现果然有一点多余代码,清洁文件后,启动Calc.exe时,微点终于发现calc.exe是个木马,将其删除后,我将Calc~.exe改名为Calc.exe后,运行正常。

但是接下来,我还有很多工作要做,请Legend告知还有没有更好的解决方法。

※ ※ ※ 本文纯属【Rybka】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-21 16:09
查看资料  发送邮件  发短消息   编辑帖子
Rybka
注册用户





积分 51
发帖 51
注册 2007-1-4
#4  

Legend, 正常的clipbrd.exe会不会在运行时生成clipbrd~.exe?

※ ※ ※ 本文纯属【Rybka】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-21 16:16
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#5  

请问楼主,是否比对两个Calc.exe和 Calc~.exe大小是否一致,你每个文件是否都出现了***~.exe的文件,微点在此之前运行是是否报,你可以把文件都发到virus@micropoint.com.cn上,我们为您分析一下.

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-2-21 16:28
查看资料  发短消息   编辑帖子
Rybka
注册用户





积分 51
发帖 51
注册 2007-1-4
#6  

报告Legend,经过我自己的分析,这些文件都是1月2日被感染的,我是1月4日装的微点,所以不关微点的事,只能怪卡巴斯基,这些不正常文件都被我删除了,并用操作系统盘恢复了这些文件,这个病毒其实很简单,就是在正常的文件的头部,加入了136k的病毒码。比如运行calc.exe,就会释放calc~.exe这个病毒,都是雕虫小技,这种木马相信你那有很多,我就不发了。有好的木马再发给你。

※ ※ ※ 本文纯属【Rybka】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-22 09:10
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#7  

好的,请楼主继续进行深入测试,谢谢!

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-2-22 09:14
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号