求助发现新病毒（类似威金变种） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求助发现新病毒（类似威金变种）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

求助发现新病毒（类似威金变种）

YClong 拙长孩提狮帖子:108 注册: 2006-07-04 来自:	发表于： 2006-09-27 09:19 \| 只看楼主短消息资料字号：小中大 1楼求助发现新病毒（类似威金变种）发现新病毒（类似威金变） 9月26日早上开机发现瑞星监控被关闭，发现有：瑞星病毒查询日志 2006-09-26 09:24:05 ----------------------------------------------------------------------------- 机器名称 :CJMT-OASERVER IP 地址 :192.168.1.5 病毒名称 :Trojan.Agent.cws 病毒类型 :Windows下的PE病毒查杀结果 :文件被删除发现时间 :2006-09-25 18:26:24 发现者 :客户端实时监控系统中心名称 :cjmt 感染文件 :PWDump4.dll 文件路径 :C: 病毒来源 : ----------------------------------------------------------------------------- 机器名称 :CJMT-OASERVER IP 地址 :192.168.1.5 病毒名称 :Hack.FindPass.Admin 病毒类型 :Windows下的PE病毒查杀结果 :文件被删除发现时间 :2006-09-25 18:22:17 发现者 :客户端实时监控系统中心名称 :cjmt 感染文件 :fidp.exe>>AsPack1.x>>AsPack1.x 文件路径 :C: 病毒来源 : 随后看到个盘文件夹的日期都修改2006-09-26了，今天为2006-09-27了，而且各文件夹读有_*.ini那个隐藏文件。不知是什么病毒，现发日志： HijackThis_zww汉化版扫描日志 V1.99.1 保存于 8:52:35, 日期 2006-09-27 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\msdtc.exe C:\Program Files\Rising\Rav\RavStub.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\llssrv.exe C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe C:\Program Files\Rising\Rav\RavAgent.exe C:\Program Files\Rising\Rav\RavAlert.exe C:\Program Files\Rising\Rav\RavService.exe C:\Program Files\Rising\Rav\RavUpdate.exe C:\WINNT\system32\regsvc.exe C:\Program Files\Rising\Rav\RNReport.exe C:\WINNT\system32\MSTask.exe C:\compaq\survey\Surveyor.EXE C:\WINNT\Explorer.EXE C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\CpqRcmc.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\system32\inetsrv\inetinfo.exe C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe C:\WINNT\system32\cpqteam.exe C:\Program Files\Rising\Rav\RavTray.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\sysdown.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Program Files\Rising\Rav\RavControl.exe C:\WINNT\System32\svchost.exe C:\Program Files\Rising\Rav\Rav.exe C:\WINNT\system32\wuauclt.exe E:\反浏览器劫持工具\HijackThis.exe O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - 启动项HKLM\\Run: [CPQTEAM] cpqteam.exe O4 - 启动项HKLM\\Run: [RavTray] "C:\Program Files\Rising\Rav\RavTray.exe" O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKCU\\Run: [Internat.exe] internat.exe O4 - Global Startup: 服务管理器.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O15 - “受信任的站点”中添加项: http://www.cjmt.com.cn O15 - 添加的受信任的 IP 地址范围: http://192.168.1.5 O16 - DPF: {80602244-4662-46AC-A1FA-4DE9328C5023} (iSignatureSetup Control) - http://192.168.1.5:8080/icons/icons/iSignature.cab O16 - DPF: {E86CD9A0-00A5-42BB-A872-B3572129C0C8} (WebInstall Control) - http://192.168.1.5:8080/icons/icons/WebInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{CC95D05C-E507-4D95-B4E2-560A8E44D807}: NameServer = 202.103.6.46,211.91.120.129 O23 - NT 服务: Compaq Remote Monitor Service (CpqRcmc) - Compaq - C:\WINNT\system32\CpqRcmc.exe O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: RavAgent - 北京瑞星科技股份有限公司 - C:\Program Files\Rising\Rav\RavAgent.exe O23 - NT 服务: Rav Net Alert (RavAlert) - 瑞星科技股份发展有限公司 - C:\Program Files\Rising\Rav\RavAlert.exe O23 - NT 服务: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing) O23 - NT 服务: RavUpdate - Unknown owner - C:\Program Files\Rising\Rav\RavUpdate.exe" (file missing) O23 - NT 服务: RNReport - 瑞星科技股份发展有限公司 - C:\Program Files\Rising\Rav\RNReport.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe O23 - NT 服务: Surveyor - Hewlett-Packard Development Group, L.P. - C:\compaq\survey\Surveyor.EXE O23 - NT 服务: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINNT\system32\sysdown.exe O23 - NT 服务: Apache Tomcat (Tomcat5) - Unknown owner - C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5 (file missing) 2006-09-27 09:20:26
YClong 拙长孩提狮帖子:108 注册: 2006-07-04 来自:	分享到：

deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:	发表于： 2006-09-27 09:28 \| 短消息资料字号：小中大 2楼修复 O15 - “受信任的站点”中添加项: http://www.cjmt.com.cn O15 - 添加的受信任的 IP 地址范围: http://192.168.1.5
deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT