直接在啟動目錄建exe

显示全部楼层 · 发表于 2011-8-27 13:10:44

2011-08-27 13:02:40 C:\Documents and Settings\Roger\桌面\virus\about\about.exe Sandboxed As Partially Limited

2011-08-27 13:02:50 C:\Documents and Settings\Roger\桌面\virus\about\about.exe Modify Key HKUS\S-1-5-21-1935655697-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

2011-08-27 13:02:50 C:\Documents and Settings\Roger\桌面\virus\about\about.exe Modify File C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\csrss.exe

2011-08-27 13:02:50 C:\Documents and Settings\Roger\桌面\virus\about\about.exe Access COM Interface C:\WINDOWS\system32\svchost.exe

2011-08-27 13:02:50 C:\Documents and Settings\Roger\桌面\virus\about\about.exe Modify File C:\WINDOWS\system32\wbem\Logs\wbemprox.log

訪問網路

显示全部楼层 · 发表于 2011-8-27 13:17:39

金山 Malware.Heur_Generic.B

显示全部楼层 · 发表于 2011-8-27 13:26:19

本帖最后由 liange 于 2011-8-27 13:43 编辑

是一个FAKE AV？

The following directory was created:
%AppData%\OpenCloud Antivirus

- Files Created:
C:\Documents and Settings\Administrator\Application Data\OpenCloud Antivirus
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\csrss.exe

有注册的尝试与远程主机建立连接。连接的详细信息：
远程主机       端口号
199.7.52.190       80
204.0.5.50       80
65.55.87.107       80
66.96.222.165       80

下载&读取如下内容（请勿实机点击）：
http://crl.verisign.com/pca3.crl
http://CSC3-2004-crl.verisign.com/CSC3-2004.crl
http://crl.microsoft.com/pki/crl/products/CodeSignPCA.crl
http://www.download.windowsupdat ... /en/authrootseq.txt
http://www.download.windowsupdat ... /en/authrootstl.cab
http://xmlstatreports.com/r.php? ... 1&av=none&wd=0&ad=1（此链接AVAST！拦截）

显示全部楼层 · 发表于 2011-8-27 13:27:28

360杀

显示全部楼层 · 发表于 2011-8-27 13:33:08

有时假冒av

显示全部楼层 · 发表于 2011-8-27 13:46:29

mse kill
类别: 工具

描述: 这个程序用于创建病毒、蠕虫或其他恶意软件。

建议的操作: 立即删除这个软件。

显示全部楼层 · 发表于 2011-8-27 14:09:39

to MP and eset~

显示全部楼层 · 发表于 2011-8-27 14:31:12

idp miss

显示全部楼层 · 发表于 2011-8-27 15:23:34

本帖最后由 wjcharles 于 2011-8-27 15:26 编辑

NIS2011 sonar kill:

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间:
2011/8/27 ( 15:25:06 )
上次使用时间:
2011/8/27 ( 15:25:06 )
启动项:
否
已启动:
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自 URL 不可用

源文件:
explorer.exe
创建的文件:
winrar 4.01 (32位)烈火美化安装版.exe
创建的文件:
winrar.exe
创建的文件:
about.exe
____________________________
文件操作
文件: d:\downloads\chrome\test\about\about.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (Performed by d:\downloads\chrome\test\about\about.exe, PID:5024)
未采取操作
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2011-8-27 16:02:22

IK miss

[病毒样本] 直接在啟動目錄建exe

本帖子中包含更多资源

[病毒样本] 直接在 啟動目錄 建exe

本帖子中包含更多资源

[病毒样本] 直接在啟動目錄建exe