1   1  /  1  页   跳转

【讨论】这是病毒的表现吗?

收藏
amos263
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-04-16
  • 来自:
发表于: 2008-04-16 09:57 | 只看楼主 短消息 资料
字号: 1楼

【讨论】这是病毒的表现吗?

以“run”追查注册表,发现以下项目数据:{某类号}——》shell——》Autorun——》Command——》(默认)——》C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\Lcass.exe
问:一、状如HKEY_USERS\S-1-5-21-299502267-630328440-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{474cd9ac-****-****-****-00e04c4c0f24}的类,是开机自动引导的东西吗,如果不是,何时引导?
二、以上面所述的项目数据,会不会是一个病毒,或是病毒残留?
三、我上报了两周的"448C1.EXE"病毒文件中的问题,什么时候能彻底清除?

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
最后编辑2008-04-21 11:08:30.873000000
分享到:
gototop
 
万事达
头像
社区嘉宾
  • 帖子:23068
  • 注册: 2007-08-17
  • 来自:123
年度优秀版主奖论坛8周年活动礼物09欢乐圣诞
发表于: 2008-04-16 11:21 | 短消息 资料
字号: 2楼

Lcass.exe这项是病毒残余,如果项全面分析,建议去反病毒版块扫描日志分析

lz上报病毒样本后给你回复了吗?没有的话,可以把样本发到论坛上,我去上报。
gototop
 
amos263
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-04-16
  • 来自:
发表于: 2008-04-16 13:14 | 只看楼主 短消息 资料
字号: 3楼

【回复“万事达”的帖子】
如果是残余我也就放心了。
上报样本后收到了回复,说将在20.39.22版本中处理,但现在都40.??了还不能清理448c1.exe呢,这可是我最早提交的样本。
当然,在20.39.22版本拿到以后,还是清除了几个我机器上本不能查出的病毒的。
gototop
 
万事达
头像
社区嘉宾
  • 帖子:23068
  • 注册: 2007-08-17
  • 来自:123
年度优秀版主奖论坛8周年活动礼物09欢乐圣诞
发表于: 2008-04-16 13:17 | 短消息 资料
字号: 4楼

把448c1.exe压缩后以附件的方式贴上来,我看看
gototop
 
amos263
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-04-16
  • 来自:
发表于: 2008-04-20 21:42 | 只看楼主 短消息 资料
字号: 5楼

不好意思,几天没来,今天把附件传上来,请版主帮帮忙!

附件附件:

下载次数:164
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-20 21:42:36
描述:
gototop
 
万事达
头像
社区嘉宾
  • 帖子:23068
  • 注册: 2007-08-17
  • 来自:123
年度优秀版主奖论坛8周年活动礼物09欢乐圣诞
发表于: 2008-04-21 11:08 | 短消息 资料
字号: 6楼

lz升级杀毒吧,最新版已经可以杀了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT