扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
文件: wmp.exe
大小: 642048 字节
病毒名称: Backdoor.Win32.Hupigon.feh (F-Secure Anti-Virus )
MD5: 3F2F3661F940ECE9F843D2B6EB9B742A
SHA1: AB503D5F7E1F2EB868F3BC922038A60E02883F7B
CRC32: 8555737B
ssm记录的日志
父级.进程: 调用ie
路径: C:\Documents and Settings\user\桌面\wmp.exe
PID: 2548
子级进程:
路径: C:\program files\internet explorer\IEXPLORE.EXE
信息: Internet Explorer (Microsoft Corporation)
命令行:"C:\program files\internet explorer\IEXPLORE.EXE"
添加服务
进程:
路径: C:\WINDOWS\system32\services.exe
PID: 664
信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
注册.表键: HKLM\SYSTEM\CurrentControlSet\Services\wis xp
进程:
路径: C:\WINDOWS\system32\services.exe
PID: 664
信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\wis xp
注册表值: ImagePath
类型: REG_EXPAND_SZ
值: C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe
父级进程: 调用计算器。。。。 各位小心。。。
路径: C:\program files\internet explorer\IEXPLORE.EXE
PID: 2592
信息: Internet Explorer (Microsoft Corporation)
子级进程:
路径: C:\WINDOWS\system32\calc.exe
信息: Windows Calculator application file (Microsoft Corporation)
命令行:"C:\windows\system32\calc.exe"
进程:
路径: C:\program files\internet explorer\IEXPLORE.EXE
PID: 2592
信息: Internet Explorer (Microsoft Corporation)
网络信息:
IP 地址: 192.168.40.129
信任的区域: 是
协议: TCP
父级进程:
路径: C:\WINDOWS\system32\calc.exe
PID: 2808
信息: Windows Calculator application file (Microsoft Corporation)
子级.进程:
路径: C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
命令行:"C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe"
父级进程: 如果结束calc.exe或IEXPLORE.EXE 会自动再次启动。。
路径: C:\WINDOWS\system32\calc.exe
PID: 2808
信息: Windows Calculator application file (Microsoft Corporation)
子级进程:
路径: C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
命令行:"C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice45.exe"
创建进程calc.exe IEXPLORE.EXE 隐藏进程explorer.exe
释放文件:C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\paramstr.txt
C:\windows\system32\_rejoice45.exe
解决:打开冰刃 设置 在禁止.进线程创建前打钩
结束进程calc.exe IEXPLORE.EXE 显示为红色的 先不管explorer.exe
在注册表中删除HKLM\SYSTEM\CurrentControlSet\Services\wis xp
删除文件C:\Program Files\Common Files\Microsoft Shared\MSInfo\rejoice45.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\paramstr.txt
C:\windows\system32\_rejoice45.exe
最后把禁止进线程创建前的钩去掉 结束进程explorer.exe后 使用任务管理器建立explorer.exe 使用sreng删除服务wis xp即可 重起 检查病毒文件是否存在。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。