微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 奇怪 为何每次一安装上微点 恶意软件清理助手 就查出system22 建议改进  

 12  1/2  1  2  > 
作者:
标题: 奇怪 为何每次一安装上微点 恶意软件清理助手 就查出system22 建议改进
098oiukjhmnb
新手上路





积分 3
发帖 3
注册 2008-2-17
#1  奇怪 为何每次一安装上微点 恶意软件清理助手 就查出system22 建议改进

奇怪 为何每次一安装上微点 恶意软件清理助手 就查会出有system22  建议改进

※ ※ ※ 本文纯属【098oiukjhmnb】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-18 09:38
查看资料  发送邮件  发短消息   编辑帖子
images
银牌会员





积分 1429
发帖 1376
注册 2007-11-17
#2  

没看明白,system22是不是system32阿?
具体查出什么?

※ ※ ※ 本文纯属【images】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

All accepted English
For a slim figure, share your food with the hungry. 给images发短消息
2008-2-18 09:43
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#3  

请楼主详细说明一下,最好是能截图说明,我们好仔细分析一下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-2-18 09:45
查看资料  发短消息   编辑帖子
098oiukjhmnb
新手上路





积分 3
发帖 3
注册 2008-2-17
#4  是system22 恶意软件清理助手 查出的

是system22   恶意软件清理助手 查出的 清除了好几遍又重开机后又出现又清除才没了 我1月中旬安装上微点后就发现了 2月初又重安装上微点后又发现了  昨天又重新安装微点又发现了  恶意软件清理助手 我不会用上报功能 不会截图上传啊  微点俺也不敢在安上重新试了  建议 版主用恶意软件清理助手查查 在我印象里好像大概是什么c:\下什么什么.temp.什么什么

※ ※ ※ 本文纯属【098oiukjhmnb】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-18 10:09
查看资料  发送邮件  发短消息   编辑帖子
小陈哥
新手上路





积分 34
发帖 34
注册 2007-2-11
#5  

我装了微点用恶意软件清理助手没有出现楼主的情况!

附件 1: ScreenShot.jpg (2008-2-18 10:27, 154.61 K,下载次数: 59)


※ ※ ※ 本文纯属【小陈哥】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-18 10:27
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  

请楼主加入微点官方技术交流QQ群,联系在线管理员协助解决。在加群和联系管理员时请附上本帖链接。
微点技术交流群: I. 16998902   Ⅱ. 1471553   Ⅲ. 630086
请您逐个尝试加入

楼主也可以使用QQ将微点在线管理员加为好友(QQ:383154254或466248167),让他协助您在线分析处理一下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-2-18 10:30
查看资料  发短消息   编辑帖子
images
银牌会员





积分 1429
发帖 1376
注册 2007-11-17
#7  

病毒症状:
在"C\DO...\AD....\LO.....\TEMP\TMP2.TMP.............."(省略了狠多)不过在那个文件夹里...差不多名字的东西很多!tmp5.tmp等等...不过杀毒软件只说TMP2是病毒...删了后又找不到有毒了
进程里有system22.exe这个东西,占着CPU50%
该病毒注入Explorer进程,盗取用户密码、帐号等敏感信息!
进程位置: %Temp%\system22.exe或%System32%\system22.exe
程序用途: 病毒运行后,复制自身到:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.bak
并释放dll:
%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll
注入explorer.exe进程,监视发.送到消息队列的消息,盗取用户密码,帐号等敏感信息创建ShellExecuteHooks,随机启动:
[H试用key_CLASSES_ROOT\CLSID\\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
[H试用key_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
" "="%ProgramFiles%\Internet Explorer\PLUGINS\NewTemp.dll"
病毒会在各分区根目录复制副本,创建autorun.inf实现自动.播放时运行病毒的动作: 字串3
X:\autorun.inf
X:\PegeFile.pif
autorun内容:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
病毒会注入Explorer.exe反弹连接,访问网络下载其它病毒或恶意程序并自动运行:
%Temp%\1.exe
%Temp%\2.exe
%Temp%\3.exe
%Temp%\4.exe
%Temp%\5.exe
%Temp%\6.exe
%Temp%\7.exe
%Temp%\8.exe
%Temp%\9.exe
%Temp%\10.exe
%Temp%\11.exe
%Temp%\12.exe
%Temp%\13.exe
%Temp%\14.exe
%Temp%\15.exe
%Temp%\16.exe
%Temp%\17.exe
%Temp%\system22.exe
添加注册表项,记录自身和下.载的病毒的版本信息:
[HKCU\Software\SetVer\ver]

※ ※ ※ 本文纯属【images】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

All accepted English
For a slim figure, share your food with the hungry. 给images发短消息
2008-2-18 10:32
查看资料  发短消息   编辑帖子
云山道长
新手上路





积分 3
发帖 3
注册 2008-10-9
#8  怪招杀毒

这些病毒文件一般都在这里(也可以用roguecleaner搜索完后查看具体位置)
C:\Documents and Settings\Administrator\Local Settings\Temp\temp8(或者tempB,temp3…….)
把这些文件夹都用洪杰加密软件把它们加密,然后重新启动电脑,找到这些文件就可以直接把它们干掉了
QQ963213115

※ ※ ※ 本文纯属【云山道长】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-10-9 23:08
查看资料  发送邮件  发短消息   编辑帖子
云山道长
新手上路





积分 3
发帖 3
注册 2008-10-9
#9  说明

system22是一个很厉害的木马病毒,本人费了好大的劲才将这个坏家伙干掉
QQ963213115

※ ※ ※ 本文纯属【云山道长】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-10-9 23:11
查看资料  发送邮件  发短消息   编辑帖子
云山道长
新手上路





积分 3
发帖 3
注册 2008-10-9
#10  说明

这个病毒一般软件查不出来,我知道的只有roguecleaner能检测出来,

※ ※ ※ 本文纯属【云山道长】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-10-9 23:15
查看资料  发送邮件  发短消息   编辑帖子
 12  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号