瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 alisoft下的病毒20090614.exe!!删除后自动生成!

12   1  /  2  页   跳转

[求助] alisoft下的病毒20090614.exe!!删除后自动生成!

收藏
无痕雪
头像
强壮不惑狮
  • 帖子:988
  • 注册: 2003-01-07
  • 来自:
发表于: 2009-08-13 21:13 | 只看楼主 短消息 资料
字号: 1楼

alisoft下的病毒20090614.exe!!删除后自动生成!

开机进程里有wscript.exe,20090614.exe删除后自动生成。在C:\Program Files\Alisoft\20090614目录下,并且还自动运行,访问网络!原来文件是1.3M,运行后变成950K,怀疑捆绑了木马,进程里会有脚本宿主wscript.exe,开机也自动启动。谁知道应该怎么办?附上日志和捆绑的文件及病毒文件。请大家帮帮小菜鸟!!!

附件附件:

下载次数:295
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-13 21:16:05
描述:rar

附件附件:

下载次数:747
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-13 21:16:48
描述:rar

附件附件:

文件名:Alisoft.rar
下载次数:405
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-13 21:16:48
描述:rar

最后编辑无痕雪 最后编辑于 2009-08-13 21:16:48
分享到:
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2009-08-14 09:23 | 短消息 资料
字号: 2楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

日志查看没可疑进程。
╭∩╮(︶︿︶)╭∩╮
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-08-14 13:45 | 短消息 资料
字号: 3楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

修改Schedule服务的ImagePath
C:\WINDOWS\system32\shed.exe schedule.dll,netsvcs
gototop
 
无痕雪
头像
强壮不惑狮
  • 帖子:988
  • 注册: 2003-01-07
  • 来自:
发表于: 2009-08-14 14:05 | 只看楼主 短消息 资料
字号: 4楼

回复: alisoft下的病毒20090614.exe!!删除后自动生成!

我找不到这个服务。。。请问在哪找?另外360顽固木马专杀已经把这个禁止自启动了。
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-08-14 14:44 | 短消息 资料
字号: 5楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

用冰刃看这个服务吧。
从别的正常的SP2系统中导出这个服务,再导入到你的电脑中吧。
最后编辑byxxdrls 最后编辑于 2009-08-14 14:45:41
gototop
 
无痕雪
头像
强壮不惑狮
  • 帖子:988
  • 注册: 2003-01-07
  • 来自:
发表于: 2009-08-14 14:45 | 只看楼主 短消息 资料
字号: 6楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

这个服务的名称叫什么呢????????
gototop
 
无痕雪
头像
强壮不惑狮
  • 帖子:988
  • 注册: 2003-01-07
  • 来自:
发表于: 2009-08-14 14:52 | 只看楼主 短消息 资料
字号: 7楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

暂时找不到其他电脑,是不是这个服务被360删了????
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2009-08-14 14:54 | 短消息 资料
字号: 8楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

楼主去52WPE问冰枫好了
950K的是WPE本体文件
alisoft
还有ActiveNC.cab是做什么的


可能只是防游戏检测的策略

没有发现恶意行为
最后编辑天云一剑 最后编辑于 2009-08-14 14:56:35
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
无痕雪
头像
强壮不惑狮
  • 帖子:988
  • 注册: 2003-01-07
  • 来自:
发表于: 2009-08-14 14:59 | 只看楼主 短消息 资料
字号: 9楼

回复:alisoft下的病毒20090614.exe!!删除后自动生成!

我问了冰枫,他也说不清楚,1.3M的文件运行后变成950K,很奇怪!Alisoft.rar里面就是那个20090614.exe文件
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2009-08-14 15:08 | 短消息 资料
字号: 10楼

回复 9F 无痕雪 的帖子

他修改的WPE原版是哪里来的
alisoft不是阿里巴巴,就是恶意程序或者流氓程序了


最后读取了两个页面内容
http://ncupdate.9097939.cn/v2010 ... 60b7&from=W-P-E.exe
ActiveNC.cab文件来源不正确
http://ncupdate.lua.cn/v2010/s.p ... 682b&from=W-P-E.exe
网站未备案
最后编辑天云一剑 最后编辑于 2009-08-14 15:09:31
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT