终于知道我是怎么中rpcss.dll病毒的了。 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛终于知道我是怎么中rpcss.dll病毒的了。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 终于知道我是怎么中rpcss.dll病毒的了。

Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	发表于： 2010-03-05 16:19 \| 只看楼主短消息资料字号：小中大 1楼终于知道我是怎么中rpcss.dll病毒的了。看监控日志：新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQWRY.DAT 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQWRY.DAT 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\58208~.tmp 修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\58208~.tmp 删除 C:\WINDOWS\system32\drivers\SmartAVS.sys 修改 C:\Documents and Settings\Administrator\Local Settings\Temp 新建 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf 修改 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf 新建 C:\WINDOWS\system32\drivers\SmartAVS.sys 修改 C:\WINDOWS\system32\drivers\SmartAVS.sys 删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe 修改 C:\WINDOWS\system32\arpcss.dll 修改 C:\WINDOWS\system32\arpcss.dll 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\system32\arpcss.dll 修改 C:\WINDOWS\system32\apa.dll 新建 C:\WINDOWS\Prefetch\智能杀毒伴侣.EXE-18549DE6.pf 修改 C:\WINDOWS\Prefetch\智能杀毒伴侣.EXE-18549DE6.pf 修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 修改 C:\WINDOWS\system32\apa.dll 改名 C:\WINDOWS\system32\rpcss.dllH [...] [...] into C:\WINDOWS\system32\0005d1af.~tp 修改 C:\WINDOWS\system32\0005d1af.~tp 新建 C:\WINDOWS\system32\rpcss.dll 修改 C:\WINDOWS\system32\rpcss.dll@ 修改 C:\WINDOWS\system32\rpcss.dll 修改 C:\WINDOWS\system32\config\system.LOG 修改 C:\WINDOWS\system32\config\system.LOGP 修改 C:\WINDOWS\system32\config\system.LOGP 修改 C:\WINDOWS\system32\config\system.LOGP 修改 C:\WINDOWS\system32\config\system.LOG< 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\config\system.LOG 修改 C:\WINDOWS\system32\config\systemP 修改 C:\WINDOWS\system32\config\system.LOG 修改 C:\WINDOWS\system32 修改 C:\WINDOWS\system32\config\software.LOG 修改 C:\WINDOWS\system32\config\software.LOG 修改 C:\WINDOWS\system32\config\software.LOG 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files 修改 C:\WINDOWS\system32\config\software.LOG 修改 C:\WINDOWS\system32\config\software.LOG 修改 C:\WINDOWS\system32\config\software.LOG 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat 修改 C:\WINDOWS\system32\config\systemprofile\Cookies 修改 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5 删除 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe 修改 C:\WINDOWS\system32\config\default.LOG 修改 C:\WINDOWS\system32\config\default.LOG 修改 C:\WINDOWS\system32\config\default.LOG 新建 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe 新建 C:\WINDOWS\temp\5d3e1~.tmp 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe 修改 C:\WINDOWS\temp\5d3e1~.tmp 修改 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\JLT1AHEZ\mg25[1].exe 修改 C:\WINDOWS\temp 新建 C:\WINDOWS\temp\5d6cf~.tmp 修改 C:\WINDOWS\temp\5d6cf~.tmp 修改 C:\WINDOWS\temp 新建 C:\WINDOWS\Prefetch\5D3E1~.TMP-0A86BE10.pf 修改 C:\WINDOWS\Prefetch\5D3E1~.TMP-0A86BE10.pf 删除 C:\WINDOWS\temp\5d3e1~.tmp 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll< 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\system32\apa.dll 修改 C:\WINDOWS\temp 修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 新建 C:\WINDOWS\system32\rpcss.dll~381421 修改 C:\WINDOWS\system32\rpcss.dll~381421 修改 C:\WINDOWS\system32\rpcss.dll~381421 修改 C:\WINDOWS\system32 修改 C:\WINDOWS\system32\apa.dll 删除 C:\WINDOWS\system32\rpcss.dll~381421 修改 C:\WINDOWS\system32 新建 C:\WINDOWS\system32\rpcss.dll~404171 总是自动从3322.org下载个~198.exe的木马。如果我想做假体的话需要给哪些个文件做？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; icafe8)
Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	分享到：

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-03-05 16:22 \| 短消息资料字号：小中大 2楼回复：终于知道我是怎么中rpcss.dll病毒的了。感染型的，你非系统分区的部分程序被感染了瑞星应该能杀 byxxdrls 最后编辑于 2010-03-05 16:41:24
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2010-03-05 16:24 \| 短消息资料字号：小中大 3楼回复：终于知道我是怎么中rpcss.dll病毒的了。。。。。。知道就成了汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-03-05 16:27 \| 短消息资料字号：小中大 4楼回复 1F Devilink 的帖子 lz用的啥工具监控的
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

WangAnwu 自信弱冠狮帖子:403 注册: 2010-01-17 来自:贵州贵阳	发表于： 2010-03-05 17:44 \| 短消息资料字号：小中大 5楼回复：终于知道我是怎么中rpcss.dll病毒的了。知道了怎么没有说出来与大家分享呀?我都不明白.
WangAnwu 自信弱冠狮帖子:403 注册: 2010-01-17 来自:贵州贵阳

Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	发表于： 2010-03-05 20:11 \| 只看楼主短消息资料字号：小中大 6楼回复：终于知道我是怎么中rpcss.dll病毒的了。因为病毒是从我U盘的软件里感染的。我从灰鸽子的网站上下了个木马辅助查找器 2005 监控C盘的文件，然后看运行软件后都生成了什么文件。。。
Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:

Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:	发表于： 2010-03-05 20:13 \| 只看楼主短消息资料字号：小中大 7楼回复 2F byxxdrls 的帖子瑞星、卡巴、小红伞、诺盾、在线查毒http://www.virustotal.com/zh-cn/ 都没检出来。。。。。
Devilink 初生襁褓狮帖子:14 注册: 2010-03-04 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-03-05 21:04 \| 短消息资料字号：小中大 8楼回复：终于知道我是怎么中rpcss.dll病毒的了。参考http://bbs.janmeng.com/thread-920475-1-1.html
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

念初强壮不惑狮帖子:1021 注册: 2005-07-03 来自:病毒大染缸	发表于： 2010-03-05 21:11 \| 短消息资料字号：小中大 9楼回复：终于知道我是怎么中rpcss.dll病毒的了。木马辅助查找器？挺不错的哦 hips？感染不是你的错不能修复就是你的不对了遇到问题请附截图和sreng日志
念初强壮不惑狮帖子:1021 注册: 2005-07-03 来自:病毒大染缸

防潮生生世世健康舞勺狮帖子:250 注册: 2009-12-18 来自:	发表于： 2010-03-06 05:01 \| 短消息资料字号：小中大 10楼回复：终于知道我是怎么中rpcss.dll病毒的了。从哪里看出来是3322.org的？
防潮生生世世健康舞勺狮帖子:250 注册: 2009-12-18 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT