1   1  /  1  页   跳转

[求助] 流氓病毒 VRT**.tmp 造成声卡无声

流氓病毒 VRT**.tmp 造成声卡无声

病毒执行后,瑞重主动防御提示:

文件访问:
      进程名称

文件

C:\WINDOWS\TEMP\VRT26.TMP

C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    C:\WINDOWS\SYSTEM32\SPOOLSV.EXE    C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS



注册表:
C:\WINDOWS\SYSTEM32\WINLOGON.EXE


HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}

系统函数控制:
   
试图改写目标程序内存
C:\WINDOWS\SYSTEM32\WINLOGON.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\WINLOGON.EXE

试图改写目标程序内存
C:\WINDOWS\SYSTEM32\SERVICES.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\SERVICES.EXE

试图改写目标程序内存

C:\WINDOWS\SYSTEM32\LSASS.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\LSASS.EXE

试图改写目标程序内存
C:\WINDOWS\SYSTEM32\SVCHOST.EXE

试图启动远程线程
C:\WINDOWS\SYSTEM32\SVCHOST.EXE


木马行为:
Malicious Code(恶意代码)
活动的进程
C:\WINDOWS\SYSTEM32\CMD.EXE(24140);
C:\WINDOWS\SERVICES.EXE(25036);
C:\WINDOWS\SERVICES.EXE(25060);
C:\WINDOWS\SYSTEM32\CMD.EXE(25212);
C:\WINDOWS\SYSTEM32\CMD.EXE(25220);
C:\WINDOWS\SERVICES.EXE(25788);
C:\WINDOWS\SERVICES.EXE(25824);
C:\WINDOWS\SYSTEM32\CMD.EXE(2
C:\WINDOWS\TEMP\1.EXE;
C:\WINDOWS\SYSTEM32\8.TMP;
C:\WINDOWS\SERVICES.EXE;
C:\WINDOWS\TEMP\0.EXE;


在硬盘C:\windows\system32下生成了如下文件
gjlTDJjl.ini
gjlTDJjl.ini2
nvapps.xml
ljJDTljg.dll
xxywWppP.dll
khfGxxuT.dll



用SRENG2 查看,修改系统服务  增加映像文件

AppMgmt
C: \Windows\temp\VRT26.tmp

AudioSrv
C: \Windows\temp\VRT26.tmp

BITS
C: \Windows\temp\VRT26.tmp



造成系统没有声音,不知应该如何解决,希望高手解答
提供病毒样本和system32下生成的文件

附件附件:

下载次数:413
文件类型:application/octet-stream
文件大小:
上传时间:2009-2-1 16:32:27
描述:rar

附件附件:

下载次数:243
文件类型:application/octet-stream
文件大小:
上传时间:2009-2-1 16:32:27
描述:rar

分享到:
gototop
 

回复:流氓病毒 VRT**.tmp 造成声卡无声

sreng日志呢
gototop
 

回复:流氓病毒 VRT**.tmp 造成声卡无声

嗯,解决了  ,修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv 下的 ImagePath  改为
%SystemRoot%\System32\svchost.exe -k netsvcs
然后启动服务,声音就出来了.其它的还得研究研究!
希望瑞星把此类加入病毒库.以免其它朋友中招!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT