新病毒警告!!!!!!!!! 刚发现的
c:\WINDOWS\system32\COMBoHEvent.dll查看目录下是否存在次文件
COM+ Event System Helper
服务中多出次项目
描述为
支持系统事件通知服务(SENS),此服务为订阅
可执行路径以及参数
C:\WINDOWS\System32\svchost.exe -k COMEventHelper
其作用为劫持IE或者其他相关EXE文件,在网页点击后弹出无法预测的网页。泄漏本机密码等等
由于和诸多软件混合 修改结构关联等等 暂时只发现这些 等分析文件后继续 极度危险
2006-9-9 20:55:18 C:\Program Files\Internet Explorer\IEXPLORE.EXE 试图使用命令行参数运行浏览器: "C:\Program Files\Internet Explorer\iexplore.exe" [url=http://www.maohehe.com/html/16.html?111]http://www.maohehe.com/html/16.html?111[/url].
2006-9-9 23:18:50 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KRSRO18T\webxl_g00765[1].exe 试图使用命令行参数运行浏览器: "[url=http://help.xunlei.com/online/stat_inst.php?pid=00765]http://help.xunlei.com/online/stat_inst.php?pid=00765",,-1,0[/url],,,,.
以上是截获的数据 现在估计没有杀毒软件能停止
只能做到手动停止服务后删除 COMBoHEvent.dll C:\Program Files\Internet Explorer\iedw.exe 以上文件
继续分析后汇报 忘记说了 这个是个综合性程序 混合广告程序木马程序
服务内还有个辅助程序
显示名
COM+ System Application
描述
管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于 COM+ 组件将不能正常工作。如果本服务被禁用,任何明确依赖它的服务都将不能启动。
或者
管理卷影复制服务拍摄的软件卷影复制。如果该服务被停止,软件卷影复制将无法管理。如果该服务被停用,任何依赖它的服务将无法启动。
可执行路径
C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
还有个
名称:Distributd Link Traking Cie
组别:O23 - 系统服务
安全级别: 未知
命令行:C:\WINDOWS\svchocst.exe
文件描述:
出品公司:
文件大小:0 KB
搜索注册表 有没有这个
COMEventHelper.bat
@echo off
:loop
net stop COMEventHelper
del c:\windows\system32\COMEventHelper.dll
if exist "c:\windows\system32\COMEventHelper.dll" goto loop
copy c:\windows\system32\Update\COMEventHelper.dll c:\windows\system32\COMEventHelper.dll
del c:\windows\system32\Update\COMEventHelper.dll
net start COMEventHelper
del %0
真的有够无聊的
还有要铲除彻底 注册表搜索下就可以了
什么杀毒软件都没有用 靠!! 好烦
[[i] 本帖最后由 wuhaolove 于 2006-9-10 00:14 编辑 [/i]] 应该是一个spyware 貌似我没有 量它也进不了偶的机器。 aaaaaaaaaaaaaaa
页:
[1]