yego220 - 2006-11-1 15:32:00
现在可以肯定topbarw1.exe 这是病毒文件。在进程里结束了,2分钟过后,再次出现。且%windir%\system32
下再次有了。
附上病毒主体文件。有兴趣的高手共同研究此病毒到底有什么企图。
它引起的症状有二:
一是用户无法访问服务器IP。
二是远程桌面出现“不支持网络请求”。
目前没有杀毒软件能查到。
附件:
7775492006111152407.JPG
yego220 - 2006-11-1 15:33:00
摘自国外网站
明天还要去解决呢
1. COVERT ANALYSIS OF: TOPBARW1.EXE
File Names Used: 3
Paths Used: 1
Common File Name: TOPBARW1.EXE
Common Path: %WINDIR%\SYSTEM32\
Vendor Information: No Vendor details specified
TOPBARW1.EXE may use 3 or more path and file names, these are the most common:
1 :%WINDIR%\SYSTEM32\REGOLDED.EXE
2 :%WINDIR%\SYSTEM32\XXXRRRRR.EXE
File Name Structure: Normal
File and Path Structure: Normal
2. RELATIONSHIP ANALYSIS OF: TOPBARW1.EXE
No relationship details available for this object
3. ACTIVITY ANALYSIS OF: TOPBARW1.EXE
The following behaviors have been observed for this object:
Invokes dll components.
Creates Run Keys.
Runs other programs.
Communicates with web sites using httpout protocols.
Has outbound communications.
4. PROPAGATION ANALYSIS OF: TOPBARW1.EXE
Malware Group Propagation Rate: Moderate (spreading)
Malware Group: Covert Sys Exec
Copyright Prevx Limited 2005, 2006
yego220 - 2006-11-1 23:18:00
没人知道吗?
yego220 - 2006-11-2 16:36:00
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:topbarw1.exe
病毒名:Backdoor.IRCBot.ehp
我们将在较新的18.51.32版本中处理解决,请您届时将您的瑞星软件升级到18.51.32版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
注意:如果您上报的文件损坏或者压缩包有密码保护,会导致我们无法正确分析,请您确认文件正常且压缩包中无密码后再提交。
如有问题,您可以通过电话或者邮件服务中心与我们联系,详细描述您的问题,并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。
提 醒:为保证收到您的来信,请勿直接回复本邮件!!!
-------------------------------------------------------------
服务单位:瑞星·客户服务中心
工 程 师:YFB001
电话服务:(010)82678800
发送邮件:请用IE等浏览器访问网址 http://csc.rising.com.cn
-------------------------------------------------------------
yego220 - 2006-11-3 16:54:00
此病毒不会引起这种现象。
© 2000 - 2026 Rising Corp. Ltd.