微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 发现未知木马,正在发邮件  

 13  1/2  1  2  > 
作者:
标题: 发现未知木马,正在发邮件
ccfish
中级用户




积分 424
发帖 423
注册 2006-8-21
来自 中关村
#1  发现未知木马,正在发邮件

不小心把邮件搞大了, SORRY



发现未知木马,删 之


但是注册表....

  Quote:
创建时间        键        名称        原数据        新数据        创建者
2008-11-04 21:19:19        HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WMDMPMSN\PARAMETERS\        SERVICEDLL        C:\WINDOWS\SYSTEM32\MSPMSNSV.DLL        %SYSTEMROOT%\SYSTEM32\WMDMPMSVC.DLL        C:\WINDOWS\SYSTEM32\DTS3211.EXE
2008-11-04 20:31:32        HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\        SHELL        EXPLORER.EXE        EXPLORER.EXE        D:\PROGRAM FILES\TENCENT\QQ\QQ.EXE



※ ※ ※ 本文纯属【ccfish】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

抓到黑客,直接打死~
2008-11-4 21:46
查看资料  发送邮件  发短消息  QQ   编辑帖子
ccfish
中级用户




积分 424
发帖 423
注册 2006-8-21
来自 中关村
#2  

冒充我的系统文件,加载服务






※ ※ ※ 本文纯属【ccfish】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

抓到黑客,直接打死~
2008-11-4 22:01
查看资料  发送邮件  发短消息  QQ   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#3  

抓到黑客,直接打死

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

相思无用 唯别而已
别期若有定
千般煎熬又何如
莫道黯然销魂
何处柳暗花明
2008-11-4 22:20
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

请把样本发送到 VIRUS@micropoint.com.cn 邮箱,发送的时候将本帖链接一并发送。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-11-4 22:26
查看资料  发短消息   编辑帖子
ccfish
中级用户




积分 424
发帖 423
注册 2006-8-21
来自 中关村
#5  

已经发过了,邮箱是SDYG107(AT)163.com

并且邮件里描述比这里清楚,不过没有写本帖地址.
邮件的主题是:应该是未知木马入侵,伪装系统文件,创建服务自启动

SORRY 把附件补上....

[ Last edited by ccfish on 2008-11-4 at 22:30 ]

※ ※ ※ 本文纯属【ccfish】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

抓到黑客,直接打死~
2008-11-4 22:29
查看资料  发送邮件  发短消息  QQ   编辑帖子
yurong7777777
高级用户





积分 536
发帖 534
注册 2008-9-12
#6  

好,要搞死

※ ※ ※ 本文纯属【yurong7777777】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-4 23:20
查看资料  发送邮件  发短消息  QQ   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#7  



  Quote:
Originally posted by ccfish at 2008-11-4 22:01:

sReng显示函数内容不符 应该是微点新版的原因

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-11-5 20:31
查看资料  发送邮件  访问主页  发短消息   编辑帖子
ccfish
中级用户




积分 424
发帖 423
注册 2006-8-21
来自 中关村
#8  

再补一张图,好像还没有解决



※ ※ ※ 本文纯属【ccfish】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

抓到黑客,直接打死~
2008-11-5 21:33
查看资料  发送邮件  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#9  

请加微点技术交流群管理员qq:383154254或者466248167帮您具体分析下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-11-5 23:03
查看资料  发短消息   编辑帖子
feya
新手上路





积分 2
发帖 2
注册 2008-11-6
#10  

这几天也被这丫烦着呢,都不知道什么时候进来的,从哪里进来的,我还多个msGDI1.dll,应该是一路的,小红伞报的也不全,删掉以后,IE无法直接访问FTP了

涉嫌文件大约如下:
taskmagr.exe
msGDI1.dll
dmserver.dll
dts3211.exe
wmdmpmsvc.dll

[ Last edited by feya on 2008-11-6 at 15:04 ]

※ ※ ※ 本文纯属【feya】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-11-6 14:50
查看资料  发送邮件  发短消息   编辑帖子
 13  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号