可疑的系统文件wmiprvse.exe
时间:2008-11-20-09:20:30 进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
运行程序:\WINDOWS\system32\cmd.exe
时间:2008-11-20-09:20:30 进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
增加权限:替换一个进程层次的令牌
时间:2008-11-20-09:20:31 进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
运行程序:\WINDOWS\system32\cscript.exe
时间:2008-11-20-09:20:32 进程:C:\WINDOWS\system32\cscript.exe
运行程序:\12.exe
时间:2008-11-20-10:34:53 进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
运行程序:\WINDOWS\system32\cmd.exe
这是程序的拦截记录 因为看了是个系统文件 所以在第一次拦截的时候就通过了 没想到后来 既然发现进程中cscript.exe在下载木马并妄想执行
后结束进程后把已经关闭的瑞星打开了监控 结果发现 C:\12.EXE既然报毒 按照上面的报告 不难发现 12.exe是由cscript.exe下载的 而cscript.exe确实wmipvse.exe这个系统文件启动的
我把病毒复制到桌面的查杀
附件:
您所在的用户组无法下载或查看附件有相同的人 给个留言
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
