Board logo

标题: 关于cool_gamesetup.exe和suchost.exe 问题 [打印本页]
作者: jkp88888     时间: 2009-1-4 13:02    标题: 关于cool_gamesetup.exe和suchost.exe 问题

cool_gamesetup.exe和suchost.exe  这两个病毒 微点不能完全防住啊!
还需要用江民的熊猫专杀杀一遍,杀完之后过一段时间又出来了,微点防不住。


补充:我的是试用版。
作者: Legend     时间: 2009-1-4 13:12
您好,请您将这两个样本和微点技术支持信息发送到virus@micropoint.com.cn,发送邮件时请附带此贴链接,以方便我们跟踪处理,谢谢。
作者: jkp88888     时间: 2009-1-4 13:20
目前已经被查杀了,微点也阻止过,但是好像不能完全阻止。
我的木马日志中从2008-12-10开始到31号都阻止过,然后放假。我上传木马日志希望版主看下。如果下次发作,会把样本发上去。
作者: jkp88888     时间: 2009-1-4 13:20
时间        处理结果        木马名称        木马进程名        木马文件创建者
2008-12-31 09:26:59        处理成功        未知木马        C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE        C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE12\WINWORD.EXE
2008-12-29 12:52:08        处理成功        未知木马        C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\MSNSHELL\INSTALL\REGSVR32.EXE        F:\INSTALL.EXE
2008-12-29 12:52:08        处理成功        未知木马        C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE        F:\INSTALL.EXE
2008-12-29 12:52:07        处理成功        未知木马        F:\INSTALL.EXE        F:\INSTALL.EXE
2008-12-29 12:52:07        处理成功        未知木马        F:\INSTALL.EXE       
2008-12-18 10:20:40        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE        F:\TOOLS\MICROSOFT OFFICE 2003 VISIO 英文版\SETUP.EXE
2008-12-10 16:27:18        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE       
2008-12-10 16:06:46        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\   .EXE       
2008-12-10 16:06:41        处理成功        未知木马->Backdoor.Win32.Agent.atq        F:\   .EXE       
2008-12-10 16:06:38        处理成功        未知木马->Backdoor.Win32.Agent.atq        E:\   .EXE       
2008-12-10 16:06:30        处理成功        未知木马->Backdoor.Win32.Agent.atq        D:\   .EXE       
2008-12-10 15:23:33        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.135
2008-12-10 14:29:32        处理成功        未知木马        C:\COOL_GAMESETUP.EXE        192.168.0.139
2008-12-10 13:55:48        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.135
2008-12-10 13:52:45        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.135
2008-12-10 13:51:58        处理成功        未知木马->Backdoor.Win32.Agent.atq        F:\20061222160813706.EXE        C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-10 13:51:58        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE        \\192.168.0.136\C$\COOL_GAMESETUP.EXE
2008-12-10 13:51:58        处理成功        未知木马        \\192.168.0.136\C$\COOL_GAMESETUP.EXE       
2008-12-10 13:01:59        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.139
2008-12-10 12:55:01        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.139
2008-12-10 11:52:01        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.63
2008-12-10 11:49:59        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\COOL_GAMESETUP.EXE        192.168.0.63
2008-12-10 11:37:01        处理成功        未知木马->Backdoor.Win32.Agent.atq        C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE        \\192.168.0.136\C$\COOL_GAMESETUP.EXE
2008-12-10 11:37:01        处理成功        未知木马->Backdoor.Win32.Agent.atq        \\192.168.0.136\C$\COOL_GAMESETUP.EXE
作者: jkp88888     时间: 2009-1-4 13:22
感染所有.exe文件,网上说是熊猫烧香变种。
作者: Legend     时间: 2009-1-4 13:29
感谢楼主反馈
微点很早期版本就能很好的处理熊猫烧香病毒,中熊猫烧香的特征还是很明显的,就是exe图标是熊猫烧香的样子。
根据日志初步分析是此样本来源于您内网,可能是您共享造成的,您可以去微点提供的IP地址找其主机进行杀毒!
作者: jkp88888     时间: 2009-1-4 13:39
我们局域网内确实存在这个病毒,不能完全查杀,但是微点又不能完全阻止。
作者: Legend     时间: 2009-1-4 13:45
您的意思是说您安装微点的情况下确实本机已经中了熊猫烧香病毒了吗?(图标都变成熊猫样子了?)

请楼主加QQ:383154254  或  466248167 请他们帮您看下
作者: jkp88888     时间: 2009-1-4 13:49
没有变成熊猫的样子,我第一次中这个毒的时候,微点是开着的,但是没阻止。
就是弹出一大堆RAR压缩文件,我才知道中毒了,然后用AVG查杀,后来又用江民的熊猫专杀,才把病毒清除掉。
但是过了一段时间后,AVG弹出提示有cool_gamesetup.exe和suchost.exe  这两个病毒,微点没有反映,然后在用江民熊猫烧香专杀,杀掉。
反复几次,不知道下次什么时候还会出现。

[ Last edited by jkp88888 on 2009-1-4 at 14:02 ]
作者: jkp88888     时间: 2009-1-4 13:53


  Quote:
Originally posted by Legend at 2009-1-4 13:45:
您的意思是说您安装微点的情况下确实本机已经中了熊猫烧香病毒了吗?(图标都变成熊猫样子了?)

请楼主加QQ:383154254  或  466248167 请他们帮您看下

不好意思,现在是上班时间,公司不允许用QQ。
作者: jkp88888     时间: 2009-1-4 14:14
就在刚才,在我C盘,我就看见cool_gamesetup.exe,眼睛盯着30几秒后,微点弹出提示:发现病毒cool_gamesetup.exe。。。。。。正准备复制,被杀掉了。
作者: Legend     时间: 2009-1-4 14:26
微点是依据行为分析来判断病毒的,根据日志判断是从局域网传染过来的,微点是能够拦截这种病毒的!
另您什么时候安装的微点?
作者: jkp88888     时间: 2009-1-4 14:26
就在我看着这段时间内,已经把360感染了。海游word  变成了WINWORD.EXE.exe
作者: hanker     时间: 2009-1-4 14:27
看上去好像楼主在安装微点之前就已经被感染过了。
作者: jkp88888     时间: 2009-1-4 14:37


  Quote:
Originally posted by Legend at 2009-1-4 14:26:
微点是依据行为分析来判断病毒的,根据日志判断是从局域网传染过来的,微点是能够拦截这种病毒的!
另您什么时候安装的微点?

日志中的IP192.168.0.136 是我本机IP,我查询剩余时间为56天,我的是试用版。我从07年开始使用微点,是预升级用户,现在在公司安装的是试用版。
作者: Legend     时间: 2009-1-4 14:46
推荐您到 192.168.0.135 、192.168.0.139、192.168.0.63去杀毒吧。
微点是能够很好的处理这种病毒的,怀疑之前您其他盘的文件已经被感染过,等您运行到的时候会激活病毒,微点是能够处理的!
作者: jkp88888     时间: 2009-1-4 14:51


  Quote:
Originally posted by Legend at 2009-1-4 14:46:
推荐您到 192.168.0.135 、192.168.0.139、192.168.0.63去杀毒吧。
微点是能够很好的处理这种病毒的,怀疑之前您其他盘的文件已经被感染过,等您运行到的时候会激活病毒,微点是能够处理的!

这个方法行不通,我不一定认识机器的主人,网管也不一定能管,看来只有忍着了,发作就杀,然后在查,如此重复下去。
这个病毒是12月分的时候公司集体爆发的,是我在安装微点之后。公司已经购买了卡巴斯基,而且要求不能使用其他杀毒软件,只能和微点说再见了。

[ Last edited by jkp88888 on 2009-1-4 at 14:52 ]
作者: jkp88888     时间: 2009-1-4 14:53
不过说实在的用微点的感觉还是不错的!
作者: hanker     时间: 2009-1-4 14:56


  Quote:
Originally posted by jkp88888 at 2009-1-4 14:51:


这个方法行不通,我不一定认识机器的主人,网管也不一定能管,看来只有忍着了,发作就杀,然后在查,如此重复下去。
这个病毒是12月分的时候公司集体爆发的,是我在安装微点之后。公司已经购买了卡巴斯基,而 ...

呵呵,看来是个大型局域网用户,没有办法,他的机器有病毒,这个病毒就是通过局域网感染,如果不根除微点还是会报警,微点处理病毒的能力做技术的一般都会知道,呵呵,你安装微点想必也有一定计算机能力(要么就是听做技术的朋友介绍)。
作者: hanker     时间: 2009-1-4 14:58
楼主应该是在 2008-12-10 安装的吧?
作者: jkp88888     时间: 2009-1-4 15:02


  Quote:
Originally posted by hanker at 2009-1-4 14:58:
楼主应该是在 2008-12-10 安装的吧?

不是2008-12-10安装的,我只是把这个病毒最早发生的时间放在了上面,我的日志显示的是2008-12-05 是第一条。其中2008-12-08 是OA中的一个控件,被误报。
2008-12-08 09:32:14        用户取消,并永远有效        未知木马->Backdoor.Win32.Agent.atq        C:\WINDOWS\DOWNLOADED PROGRAM FILES\IWEBOFFICE2003.OCX       
2008-12-05 17:37:45        处理成功        Trojan-Clicker.Win32.Costrat.gc        C:\BOOT\GHOS\1KEY_SU.EXE       
2008-12-05 17:26:09        用户取消        Trojan-Clicker.Win32.Costrat.gc        C:\BOOT\GHOS\1KEY_SU.EXE
作者: Legend     时间: 2009-1-4 15:11
请楼主将微点技术支持信息发送到 support@micropoint.com.cn,另将    C:\WINDOWS\DOWNLOADED PROGRAM FILES\IWEBOFFICE2003.OCX     也发送到邮箱。具体我们分析下
作者: jkp88888     时间: 2009-1-4 15:36


  Quote:
Originally posted by Legend at 2009-1-4 15:11:
请楼主将微点技术支持信息发送到 support@micropoint.com.cn,另将    C:\WINDOWS\DOWNLOADED PROGRAM FILES\IWEBOFFICE2003.OCX     也发送到邮箱。具体我们分析下

已经发送了。
作者: zqrsc     时间: 2009-1-5 10:50
既然是企业网 网管有责任进行处理的。请楼主立即联系您的网络维护部门。他们不能看着内网泛滥不管啊~
在我这可是绝对不允许发现问题不处理的~那是要被投诉的说~
作者: jkp88888     时间: 2009-1-6 20:10


  Quote:
Originally posted by zqrsc at 2009-1-5 10:50:
既然是企业网 网管有责任进行处理的。请楼主立即联系您的网络维护部门。他们不能看着内网泛滥不管啊~
在我这可是绝对不允许发现问题不处理的~那是要被投诉的说~

网管已经被罚款了,但是限于技术水平有限,不能完全杀掉。他们也不行!
作者: Legend     时间: 2009-1-12 13:22
由于没有收到楼主的进一步反馈,此主题暂做关闭主题处理,如有其他问题,请另开新帖讨论!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn