Board logo

标题: 奇怪 为何每次一安装上微点 恶意软件清理助手 就查出system22 建议改进 [打印本页]
作者: 098oiukjhmnb     时间: 2008-2-18 09:38    标题: 奇怪 为何每次一安装上微点 恶意软件清理助手 就查出system22 建议改进

奇怪 为何每次一安装上微点 恶意软件清理助手 就查会出有system22  建议改进
作者: images     时间: 2008-2-18 09:43
没看明白,system22是不是system32阿?
具体查出什么?
作者: Legend     时间: 2008-2-18 09:45
请楼主详细说明一下,最好是能截图说明,我们好仔细分析一下。
作者: 098oiukjhmnb     时间: 2008-2-18 10:09    标题: 是system22 恶意软件清理助手 查出的

是system22   恶意软件清理助手 查出的 清除了好几遍又重开机后又出现又清除才没了 我1月中旬安装上微点后就发现了 2月初又重安装上微点后又发现了  昨天又重新安装微点又发现了  恶意软件清理助手 我不会用上报功能 不会截图上传啊  微点俺也不敢在安上重新试了  建议 版主用恶意软件清理助手查查 在我印象里好像大概是什么c:\下什么什么.temp.什么什么
作者: 小陈哥     时间: 2008-2-18 10:27
我装了微点用恶意软件清理助手没有出现楼主的情况!
附件 1: ScreenShot.jpg (2008-2-18 10:27, 154.61 K,下载次数: 59)


作者: Legend     时间: 2008-2-18 10:30
请楼主加入微点官方技术交流QQ群,联系在线管理员协助解决。在加群和联系管理员时请附上本帖链接。
微点技术交流群: I. 16998902   Ⅱ. 1471553   Ⅲ. 630086
请您逐个尝试加入

楼主也可以使用QQ将微点在线管理员加为好友(QQ:383154254或466248167),让他协助您在线分析处理一下。
作者: images     时间: 2008-2-18 10:32
病毒症状:
在"C\DO...\AD....\LO.....\TEMP\TMP2.TMP.............."(省略了狠多)不过在那个文件夹里...差不多名字的东西很多!tmp5.tmp等等...不过杀毒软件只说TMP2是病毒...删了后又找不到有毒了
进程里有system22.exe这个东西,占着CPU50%
该病毒注入Explorer进程,盗取用户密码、帐号等敏感信息!
进程位置: %Temp%\system22.exe或%System32%\system22.exe
程序用途: 病毒运行后,复制自身到:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
并释放dll:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
注入explorer.exe进程,监视发.送到消息队列的消息,盗取用户密码,帐号等敏感信息创建ShellExecuteHooks,随机启动:
[H试用key_CLASSES_ROOT\CLSID\\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
[H试用key_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
" "="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
病毒会在各分区根目录复制副本,创建autorun.inf实现自动.播放时运行病毒的动作: 字串3
X:\autorun.inf
X:\PegeFile.pif
autorun内容:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
病毒会注入Explorer.exe反弹连接,访问网络下载其它病毒或恶意程序并自动运行:
%Temp%\1.exe
%Temp%\2.exe
%Temp%\3.exe
%Temp%\4.exe
%Temp%\5.exe
%Temp%\6.exe
%Temp%\7.exe
%Temp%\8.exe
%Temp%\9.exe
%Temp%\10.exe
%Temp%\11.exe
%Temp%\12.exe
%Temp%\13.exe
%Temp%\14.exe
%Temp%\15.exe
%Temp%\16.exe
%Temp%\17.exe
%Temp%\system22.exe
添加注册表项,记录自身和下.载的病毒的版本信息:
[HKCU\Software\SetVer\ver]
作者: 云山道长     时间: 2008-10-9 23:08    标题: 怪招杀毒

这些病毒文件一般都在这里(也可以用roguecleaner搜索完后查看具体位置)
C:\Documents and Settings\Administrator\Local Settings\Temp\temp8(或者tempB,temp3…….)
把这些文件夹都用洪杰加密软件把它们加密,然后重新启动电脑,找到这些文件就可以直接把它们干掉了
QQ963213115
作者: 云山道长     时间: 2008-10-9 23:11    标题: 说明

system22是一个很厉害的木马病毒,本人费了好大的劲才将这个坏家伙干掉
QQ963213115
作者: 云山道长     时间: 2008-10-9 23:15    标题: 说明

这个病毒一般软件查不出来,我知道的只有roguecleaner能检测出来,
作者: evergoto     时间: 2008-10-10 23:32
system22还真得注意,名字很容易搞混
作者: yurong7777777     时间: 2008-10-11 20:46
我也用了,但没有出现你说的情况,是不是其他什么原因



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn