本文描述了一种中毒后的现象,包括下载大量木马、ARP欺骗等,并详细列出了病毒产生的特征文件及其在系统中的分布位置,同时给出了受影响的注册表项。
中毒后的现象:
1)下载N多木马,
2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。
隐藏的有点诡异,
产生的文件:
1) 每个磁盘分区下都有这两个文件:
autorun.inf
PegeFile.pif
2) 其他文件
c:/windows/
TIMHost.exe
NVDispDrv.exe
c:/windows/system32/
TIMHost.dll
NVDispDrv.dll
visin.exe
ztkini.dll
jzfini.dll
xyfini.dll
zxgini.dll
c:/windows/system32/drivers/
scvhost.exe
svchost.exe
C:/Program Files/Internet Explorer/PLUGINS/
NewTemp.bak
NewTemp.bbk
NewTemp.dl
System64.Jmp
System64.Sys
C:/Documents and Settings/Administor/Local Settings/Temp/
1.exe
2.exe
...
15.exe
rxso.exe
rxso0.dll
tlso.exe
tlso0.dll
qjso.exe
qjso0.dll
daso.exe
daso0.dll
wlso.exe
wlso0.dll
wgso.exe
wgso0.dll
还有注册表部分:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
KVP
NVDispDrv
qjsa
rxsa
TIMHost
tlsa
wdsa
wgsa
wlsa
1)下载N多木马,
2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。
隐藏的有点诡异,
产生的文件:
1) 每个磁盘分区下都有这两个文件:
autorun.inf
PegeFile.pif
2) 其他文件
c:/windows/
TIMHost.exe
NVDispDrv.exe
c:/windows/system32/
TIMHost.dll
NVDispDrv.dll
visin.exe
ztkini.dll
jzfini.dll
xyfini.dll
zxgini.dll
c:/windows/system32/drivers/
scvhost.exe
svchost.exe
C:/Program Files/Internet Explorer/PLUGINS/
NewTemp.bak
NewTemp.bbk
NewTemp.dl
System64.Jmp
System64.Sys
C:/Documents and Settings/Administor/Local Settings/Temp/
1.exe
2.exe
...
15.exe
rxso.exe
rxso0.dll
tlso.exe
tlso0.dll
qjso.exe
qjso0.dll
daso.exe
daso0.dll
wlso.exe
wlso0.dll
wgso.exe
wgso0.dll
还有注册表部分:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
KVP
NVDispDrv
qjsa
rxsa
TIMHost
tlsa
wdsa
wgsa
wlsa
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
