设为首页

创意安天

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 样本提交 安全中心提示在C:\WINDOWS\system32\4t35.exe是病毒
返回列表 发新帖

安全中心提示在C:\WINDOWS\system32\4t35.exe是病毒

[复制链接]
发表于 2009-8-3 21:13 | 显示全部楼层 |阅读模式
但是用2008却没反应~这是怎么回事
Windows, 提示

相关帖子
回复

举报

发表于 2009-8-4 09:21 | 显示全部楼层
本帖最后由 Lily 于 2009-8-4 09:39 编辑

这是安天VCS报告的。
看到样本上报了(https://bbs.antiy.cn/viewthread.php?tid=3718&highlight=
已转交相关部门测试,会很快有结果。
回复 支持 反对

举报

发表于 2009-8-4 11:23 | 显示全部楼层
本帖最后由 CuteK 于 2009-8-4 13:20 编辑

这个是个木马下载者,并且有驱动bho操作在
dll中还有淘宝的连接
http://www.mall.taobao.com/go/ac ... p;cm_id=&pm_id=



分析其中的一个连接地址的内容为 如下
[login] ip=3683890837 ar=HL idx=http://343.boolans.com/list/2009-08-04/HL.y q=http://343.boolans.com/list/2009-08-04/ut_HL.y b=http://343.boolans.com/list/bl.y up=http://219.148.34.10/dmupdate/sss.exe arg=/S

有操作端口控制行为
winio.sys

并有下载者的代码在其中下载play.dll 和p1.dll

通过下载回来升级的版本 目前已经可以分析其顽固行为,清除方法编写中

升级防线

或手杀

ATool
1 终止进程
C:\WINDOWS\system32\4t35.exe
explorer.exe 因为有1个dll是bho所以要终止explorer.exe

2 ATool 文件管理中删除文件

C:\WINDOWS\system32\93i4.dll
C:\WINDOWS\system32\38j0.dll
C:\WINDOWS\system32\4t35.exe

3 后注册表搜索38j0.dll和93i4.dll
类似下面这个删除
HKEY_CLASSES_ROOT\CLSID\{4E2E03DE-824F-403f-88D4-378E26ACE81C}\InprocServer32
回复 支持 反对

举报

发表于 2009-8-4 11:33 | 显示全部楼层
该样本已经入库,请升级病毒库,即可处理。
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-5-16 02:36

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表