baohe - 2010-5-5 14:28:00
1、genuinecheck.exe 运行后,病毒在系统分区释放下列文件:
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\GreenhouseRickety.pif
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\VandalismRetentive.pif
C:\Program Files\TheismGreenhouse.exe
C:\Program Files\VandalismSubscribe.exe
C:\TiltTilt.exe
C:\CrepuscularTowering.exe
C:\windos\ZOZITJTWLN.dll
2、C:\windos\ZOZITJTWLN.dll插入explorer.exe进程,保护病毒进程TiltTilt.exe不被结束。
3、此毒感染非系统分区.exe文件并在被感染的.exe文件的同一位置生成一同名.hlp文件。若删除该.hlp文件,被感染的.exe文件不能运行。
4、删除C:\windos\media\目录下的.wav文件
5、连接网络状态下,若中毒用户双击被此毒感染的exe文件,病毒则通过80或443端口访问网络,重复genuinecheck.exe运行后的病毒文件释放及文件感染过程。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.5.24 Version/10.53
networkedition - 2010-5-5 14:58:00
猫叔发错区了吧:kaka12:
baohe - 2010-5-5 14:59:00
此毒在WINDOWS7 下不能完整运行。
只是无限重复那么几个动作,连文件释放都没有。用任务管理器结束其进程,完事:kaka12:
networkedition - 2010-5-5 15:01:00
此文件已经被上报
请使用查询编号:RS20100505145430500409 进行查询
谢谢您的参与!
baohe - 2010-5-5 15:01:00
原帖由 networkedition 于 2010-5-5 14:58:00 发表
猫叔发错区了吧:kaka12:
发“可疑文件交流”哪儿?
这个不是可疑文件。而是货真价实的感染性病毒。
baohe - 2010-5-5 15:03:00
原帖由 networkedition 于 2010-5-5 15:01:00 发表
上报文件成功!
查询编号:RS20100505145430500409
为查询文件分析结果,请记录此编号。谢谢您的参与!
上报?
处理起来更慢。还常常说“不是病毒”:kaka6:
我想看看万事达的反应和工作效率:kaka16:
万事达 - 2010-5-7 17:29:00
请升级瑞星病毒库至22.46.04.05版本后查杀。
© 2000 - 2025 Rising Corp. Ltd.
