原帖地址 从WWW开始复制
ht tp://www.iopq.com/forum.php?mod=viewthread&tid=16921737&extra=page%3D2%26filter%3Dauthor%26orderby%3Ddateline%26orderby%3Ddateline
AccountServer.exe 捆绑远控木马
行为描述:拷贝自身到其他目录
附加信息:%AllUsersProfile%\Start Menu\Programs\Startup\Pc.exe
%AllUsersProfile%\「开始」菜单\程序\启动\Pc.exe
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pc.exe
行为描述:在其他进程中申请内存
附加信息:%temp%\6933e08\6933e081.ex
e%temp%\6933e28\6933e282.exe
行为描述:添加开机自启动项
附加信息:[开始启动目录] – Pc.exe
行为描述:疑似查找杀软进程
附加信息:360SD.EXE [360相关进程]ASHSERV.EXE [avast相关进程]AVASTSVC.EXE [avast相关进程]AVCENTER.EXE [小红伞进程]CCSVCHST.EXE [赛门铁克相关进程]EGUI.EXE [ESET相关进程]RAVMOND.EXE [瑞星相关进程]360TRAY.EXE [360进程]AVP.EXE [卡巴斯基进程]CCSETMGR.EXE [赛门铁克相关进程]CFP.EXE [COMODO防火墙]KNSDTRAY.EXE [可牛相关进程]KSAFETRAY.EXE [金山相关进程]KVMONXP.EXE [江民相关进程]KXETRAY.EXE [金山相关进程]MCSHIELD.EXE [McAfee相关进程]QQPCTRAY.EXE [QQ电脑管家相关进程]TMBMSRV.EXE [趋势相关进程]VSSERV.EXE [BD相关进程]
行为描述:创建互斥体
附加信息:”adgj.8800.org:2013″
行为描述:创建进程
附加信息:%temp%\6933e08\6933e081.exe%temp%\6933e28\6933e282.exe
木马上线地址端口
adgj.8800.org:2013
下载过并运行过AccountServer.exe文件,自行杀毒
查看网络连接是否有连接到2013端口
看见好多人说下载完卡登陆界面,账号服务器被捆绑木马,根本就无法启动,可不卡登陆吗
没有回复内容