1   1  /  1  页   跳转

[求助] 中了刷流量的木马,查杀不到

中了刷流量的木马,查杀不到

最近中了不知道什么木马,老是在后台自动下载各种乱七八糟的软件,如风行,皮皮虎,PPLIVE等等,而且自动安装。用杀毒软件查杀,根本查杀不到。比较奇怪的是,这些状况只发生在我用电信的闪讯上网的时候,而在用联通上网时则不会发生。同时在WINDOWS目录下还会生成这些文件

求高人指点!!!!!
谁能帮我分析下里面的文件是不是病毒!

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.63 Safari/534.3

附件附件:

文件名:cpc.rar
下载次数:274
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-5 19:30:08
描述:rar

最后编辑苦恼ING 最后编辑于 2011-06-05 19:30:08
分享到:
gototop
 

回复:中了刷流量的木马,查杀不到

这两天下来又发现,后台有时自动下载安装软件,有时候又不会。

附件附件:

文件名:SREngLOG1.log
下载次数:234
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-7 18:51:01
描述:log

最后编辑苦恼ING 最后编辑于 2011-06-07 18:51:01
gototop
 

回复:中了刷流量的木马,查杀不到

时间    操作    说明    次数
11-06-05    自动阻止    修改 系统文件    34
详细描述:
进程:C:\WINDOWS\explorer.exe
动作:删除
路径:C:\WINDOWS\system32\cmd.exe

时间    操作    说明    次数
11-06-05    已清除    发现木马:Script/Virus.ffc    1
详细描述:
木马名称:Script/Virus.ffc
所在路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pptv.vbs
gototop
 

回复:中了刷流量的木马,查杀不到

时间    操作    说明    次数
11-06-05    已清除    发现木马:HEUR/Malware.QVM19.Gen    1
详细描述:
木马名称:HEUR/Malware.QVM19.Gen
所在路径:C:\WINDOWS\SYSTEM32\MZD.EXE

时间    操作    说明    次数
11-06-05    自动阻止    进程创建    3
详细描述:
进程:C:\WINDOWS\SYSTEM32\CMD.EXE
动作:进程创建
路径:C:\WINDOWS\SYSTEM32\MZD.EXE

时间    操作    说明    次数
11-06-05    已清除    发现木马:Win32/Trojan.Hack.ebb    1
详细描述:
木马名称:Win32/Trojan.Hack.ebb
所在路径:C:\WINDOWS\system32\iWmi\C420.exe

时间    操作    说明    次数
11-06-05    自动阻止    修改 系统目录    1
详细描述:
进程:C:\WINDOWS\system32\ftp.exe
动作:修改
路径:C:\WINDOWS\system32\iWmi\C420.exe

时间    操作    说明    次数
11-06-05    已清除    发现木马:Win32/Trojan.387    1
详细描述:
木马名称:Win32/Trojan.387
所在路径:C:\WINDOWS\system32\iWmi\A03.exe
gototop
 

回复:中了刷流量的木马,查杀不到

现在开始不断下载风行网络了,删了过半小时又自动下载安装~~~~~
gototop
 

回复:中了刷流量的木马,查杀不到

时间    操作    说明    次数
19:18:37    已阻止    修改 系统敏感启动项    1
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11CC93E4-0BE6-4f8f-82AA-D577FB955B05}
注册表内容:
进程:C:\WINDOWS\system32\regsvr32.exe

时间    操作    说明    次数
19:18:37    自动阻止    修改 系统敏感启动项    2
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11CC93E4-0BE6-4f8f-82AA-D577FB955B05}
注册表内容:
进程:C:\WINDOWS\system32\regsvr32.exe

时间    操作    说明    次数
19:18:35    已阻止    修改 浏览器插件    1
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{554B27E7-3E42-44B7-AF5E-1CB731E8B834}
注册表内容:
进程:C:\WINDOWS\system32\regsvr32.exe
gototop
 

回复 10F networkedition 的帖子

这几个文件被360拦下来了
每次生成的都是不一样的文件,从PPLIVE到风行等等各种乱七八糟的软件。有可能是电信在特定的IP段放毒吗?
不然为什么我用网通上网就没事,一开电信的闪讯就不行了
gototop
 

回复 12F networkedition 的帖子

其他人用闪讯上网没事,我的闪讯然间是在官方下的
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT