瑞星卡卡安全论坛

这个病毒会将可执行程序感染，病毒发作的特征是执行程序会自动关闭，连任务管理器打开后也被关闭,而且很多快捷方式图标被改成低分辨率的样子,但不是威金的那种
C盘WINDOWS下生成ZT.EXE WL.EXE WOW.EXE 大部分东西都打不开 感染能力特强

附件: 80981720061225141856.jpg

【回复“天天接招”的帖子】
征途木马？

http://www.KZTechs.com/
下载System Repair Engineer
导出全部日志

估计是混合型病毒，有木马和蠕虫的特点?

我在虚拟机里实验了一下这个病毒，用SSM记录下面的病毒操作过程:

下面部分是删除服务：

进程：
  路径： E:\setup.exe
  PID: 1972
  用户名: 6A73C775C1434B6@iyciff
注册表群组： User AutoRun
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  注册表值： svcshare
    类型: REG_SZ
    值： C:\WINDOWS\system32




进程：

  路径： C:\WINDOWS\system32\services.exe
  PID: 792
  用户名: NT AUTHORITY@SYSTEM
  信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters



进程：
  路径： C:\WINDOWS\system32\services.exe
  PID: 792
  用户名: NT AUTHORITY@SYSTEM
  信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Security



进程：
  路径： C:\WINDOWS\system32\services.exe
  PID: 792
  用户名: NT AUTHORITY@SYSTEM
  信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Enum



进程：
  路径： C:\WINDOWS\system32\services.exe
  PID: 792
  用户名: NT AUTHORITY@SYSTEM
  信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc




服务:\\?  ? rity Center  移除  ?  ? rity Center  已停止 (禁用)    2006-12-20 15:44:32



父级进程：
  路径： E:\setup.exe
  PID: 1972
  用户名: 6A73C775C1434B6@iyciff
子级进程：
  路径： C:\WINDOWS\system32\cmd.exe
  信息： Windows Command Processor (Microsoft Corporation)
  命令行：cmd.exe /c net share A$ /del /y




父级进程：
  路径： E:\setup.exe
  PID: 1972
  用户名: 6A73C775C1434B6@iyciff
子级进程：
  路径： C:\WINDOWS\system32\cmd.exe
  信息： Windows Command Processor (Microsoft Corporation)
  命令行：cmd.exe /c net share admin$ /del /y



父级进程：

  路径： E:\setup.exe
  PID: 1972
  用户名: 6A73C775C1434B6@iyciff
子级进程：
  路径： C:\WINDOWS\system32\cmd.exe
  信息： Windows Command Processor (Microsoft Corporation)
  命令行：cmd.exe /c net share admin$ /del /y



wl.exe

进程：
  路径： C:\WINDOWS\wl.exe
  PID: 1772
  用户名: 6A73C775C1434B6@iyciff
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv



进程：
  路径： C:\WINDOWS\wl.exe
  PID: 1772
  用户名: 6A73C775C1434B6@iyciff
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
  注册表值： Type
    类型: REG_DWORD
    值： 00000001


父级进程：
  路径： E:\setup.exe
  PID: 1972
  用户名: 6A73C775C1434B6@iyciff
子级进程：
  路径： C:\WINDOWS\wow.exe
  命令行：C:\WINDOWS\wow.exe


进程：
  路径： C:\WINDOWS\wl.exe
  PID: 1772
  用户名: 6A73C775C1434B6@iyciff
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
  注册表值： ImagePath
    类型: REG_SZ
    值： \??\C:\WINDOWS\system32\Drivers\CelInDriver.sys


进程：
  路径： C:\WINDOWS\wl.exe
  PID: 1772
驱动：
  路径： C:\WINDOWS\system32\drivers\CelInDriver.sys




父级进程：
  路径： E:\setup.exe
  PID: 1972
  用户名: 6A73C775C1434B6@iyciff
子级进程：
  路径： C:\WINDOWS\mh.exe
  命令行：C:\WINDOWS\mh.exe


进程：
  路径： C:\WINDOWS\mh.exe
  PID: 2348
驱动：
  路径： C:\WINDOWS\system32\norton.sys


进程：
  路径： C:\WINDOWS\wow.exe
  PID: 2104
驱动：
  路径： C:\WINDOWS\system32\drivers\CelInDriver.sys



进程：
  路径： C:\Documents and Settings\Administrator\Local Settings\Temp\mh2\iexpl0re.EXE
  PID: 2528
库文件：
  路径： C:\Documents and Settings\Administrator\Local Settings\Temp\Mhgx.dll
挂钩类型：WH_MOUSE（监控鼠标）.



进程：
  路径： C:\WINDOWS\zt.exe
  PID: 2600
  用户名: 6A73C775C1434B6@iyciff
对象：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)
此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。


进程：
  路径： C:\WINDOWS\zt.exe
  PID: 2600
驱动：
  路径： C:\WINDOWS\system32\drivers\CelInDriver.sys



服务:\\WinXP DHCP Service  添加  WinXP DHCP Service  已停止 (自动)  (系统)  2006-12-20 15:47:28
服务:\\Windows DHCP Service  添加  Windows DHCP Service  已停止 (自动)  (系统)  2006-12-20 15:49:14
服务:\\Win32 DHCP Service  添加  Win32 DHCP Service  已停止 (自动)  (系统)  2006-12-20 15:50:24


启动项会多出这两项：
iexpl0re.EXE
C:\WINDOWS\system32\drivers\spoclsv.exe

这是病毒加载的三个服务文件：
windhcp.dll
windhcp.ocx
xpdhcp.dll


和他的现象一样,转的他的,请大家帮忙看看

最新版的瑞星都搞不定？还是你没用杀毒软件？

瑞星不报,用熊猫专杀断网杀了不少,但一天内又复发
我看很象mopery斑竹讲的熊猫作者据说要搞个不改变.exe 图标的大熊猫..不知道是否属实...
观望下个版本..

这个版本对.exe的改变已经不是单纯的熊猫头了..
.exe 只有稍微一点点的颜色变化..

求局域网解决方案

发作时任务管理器打开后瞬间关闭,图标变成16位色颜色

有可能是大部分可执行程序都被感染了，没有什么好办法了，自己下决心吧

新的熊猫还加了2个sys这回有的玩了

好贴大家要小心

发个样本给版主分析下
版主会帮写个预防手册

帮帮我啊，我现在电脑出了点问题，就是桌面上的快捷图标颜色变成深蓝色，前两天种病毒之后，就成了这样，杀毒了也没用，这是什么原因呢? 我该怎么做？

扫个日志贴上来

我也中了这个毒啊！
任务管理器、注册表一闪而过
应用程序打不开
瑞星杀毒打不开、symantec也找不开，在安全模式下也打不开
图标变成蓝灰色
格式化c盘后，重装系统也不行

只有低格，重新分区才行！

开始流行了
谁发个样本给瑞星

请发个感染的exe文件到gudugd@yahoo.com.cn，压缩加密123！！

如果是熊猫，我会及时和Mopery斑竹联系！

【回复“deadmanzj”的帖子】
winrar不能运行
压缩不了

WINRAR不能运行！
压缩不了！

去安全模式下看看能不能压缩？

rar被破坏了
重装下winrar
你可是唯一有这样本的
一定要坚持住
解决这毒就靠你了

引用:

【afkp4e7的贴子】rar被破坏了 重装下winrar 你可是唯一有这样本的 一定要坚持住 解决这毒就靠你了 ………………

盗号木马集锦啊

安全模式下也压缩不了啊！

你也太强了
才来啊这个瑞星已经能杀了

混合病毒的样子！

LZ太幸运了，坚持住！
新熊猫？

C:\WINDOWN\SYSTEM32\DTIVES\SPLOCLSV.EXE这个病毒也是跟你的描述一样,橙色七月专杀找的到就是杀了又出现,

瑞星能杀吗？
我安装的是网络版的瑞星，版本都是最新的！