回复: 还是IPZ。EXE
原帖由 大头23 于 2010-10-15 13:34:00 发表
有什么现象吗?楼主上传的压缩包文件报毒,瑞星是可以清除的。
是的,第一次是可以清除,可第二次中了后就清除不了的,可能是破坏了病毒库?还是什么原因?
在局域中中了此毒后,会造成内网PING通,且不掉包,很正常的样子,可是PING外网和路由就会不正常,
现象是PING四次正常,一次时延很大,很有规律的样子,如果多台机子中了此毒,那就会造成全网掉包。
拨了外网连线后,内网又是很正常的,插上外网后,前一分钟很正常,时间越久,掉包越严重。这个毒查
到是win32.Troj.Generic 并在服务里开启智能P2P僵尸主机,注册表里是:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IPZ]
有
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPZ]
有
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPZ]
也有
键值如下:
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPZ\0000]
"Service"="IPZ"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Intelligent P2P Zombie"
这个是加了双壳的
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo如果本机手工删了后,在内网有这毒的话,还是会自动传过来的,可能是用了4489远控端口,现在就是想看看瑞星有没有这专杀工具,能否全内网断线杀了后,再联网,可不可行?
