測主防，Carberp，調用 explorer.exe 和 svchost.exe 作壞事

a256886572008

2011-11-06 22:06:26   C:\Documents and Settings\Roger\桌面\virus\calc\info.exe   Sandboxed As   Partially Limited   

2011-11-06 22:06:33   C:\WINDOWS\system32\svchost.exe   Sandboxed As   Partially Limited   

2011-11-06 22:06:34   C:\WINDOWS\system32\svchost.exe   Sandboxed As   Partially Limited   

2011-11-06 22:06:34   C:\WINDOWS\explorer.exe   Sandboxed As   Partially Limited   

2011-11-06 22:06:38   C:\Documents and Settings\Roger\桌面\virus\calc\info.exe   Scanned Online and Found Malicious      

2011-11-06 22:06:42   C:\Documents and Settings\Roger\桌面\virus\calc\info.exe   Direct Memory Access      

2011-11-06 22:06:42   C:\WINDOWS\system32\svchost.exe   Modify Key   HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup   

2011-11-06 22:06:55   C:\WINDOWS\system32\svchost.exe   Sandboxed As   Partially Limited   

2011-11-06 22:07:00   C:\WINDOWS\explorer.exe   Access Memory   C:\WINDOWS\explorer.exe   

2011-11-06 22:07:00   C:\WINDOWS\explorer.exe   Modify Key   HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup   

2011-11-06 22:07:00   C:\WINDOWS\explorer.exe   Modify File   C:\Documents and Settings\Roger\「開始」功能表\程式集\啟動\igfxtray.exe   

2011-11-06 22:07:00   C:\WINDOWS\explorer.exe   Modify Key   HKUS\S-1-5-21-1004336348-1383384898-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609   

訪問網路



常駐進程



雲查殺

a256886572008

手動 HIPS 和某些智能HIPS 害怕的病毒來了

ADSLgg

红伞miss，to

dalianjhc1986

eset kill

rly

某人规则测试结果，正在试用中。
MiniIE.exe是浏览器程序。


2011-11-06 22:33:08    直接操作系统内核      操作:阻止
进程路径:F:\virus\info\info.exe

触发规则:所有程序规则->*


2011-11-06 22:33:09    运行应用程序      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\WINDOWS\system32\svchost.exe
命令行:netsvcs
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe


2011-11-06 22:33:09    运行应用程序      操作:允许
进程路径:F:\virus\info\info.exe
文件路径:F:\MiniIE\MiniIE\MiniIE.exe
触发规则:应用程序规则->程序->?:\*


2011-11-06 22:33:09    创建远程线程      操作:阻止
进程路径:F:\virus\info\info.exe
目标进程:F:\MiniIE\MiniIE\MiniIE.exe
触发规则:所有程序规则->*


2011-11-06 22:33:09    运行应用程序      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\WINDOWS\system32\svchost.exe
命令行:netsvcs
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe


2011-11-06 22:33:09    运行应用程序      操作:允许
进程路径:F:\virus\info\info.exe
文件路径:F:\MiniIE\MiniIE\MiniIE.exe
触发规则:应用程序规则->程序->?:\*


2011-11-06 22:33:09    创建远程线程      操作:阻止
进程路径:F:\virus\info\info.exe
目标进程:F:\MiniIE\MiniIE\MiniIE.exe
触发规则:所有程序规则->*


2011-11-06 22:33:09    运行应用程序      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE


2011-11-06 22:33:09    创建文件      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\igfxtray.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*


2011-11-06 22:33:09    创建文件      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\igfxtray.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*


2011-11-06 22:33:09    创建文件      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\igfxtray.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*


2011-11-06 22:33:09    创建文件      操作:阻止
进程路径:F:\virus\info\info.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\igfxtray.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\程序\启动\*

solstice1988

VirSCAN.org Scanned Report :
Scanned time   : 2011/11/06 22:30:23 (CST)
Scanner results: 11%的杀软(4/37)报告发现病毒
File Name      : info.exe
File Size      : 183808 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 87f1bea0f4d9d75f9ddac1518cec3fae
SHA1           : 883b952a698ee34a800b7f649239e73f8827cd53
Online report  : http://r.virscan.org/6ecb4cc2ed0315cb63e4d7354780377b

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.4         20111106182217    2011-11-06  0.64   -
安博士V3       2011.11.05.02   2011.11.05        2011-11-05  5.16   -
AntiVir        8.2.6.104       7.11.17.28        2011-11-06  0.38   -
安天           2.0.18          20111105.13758627 2011-11-05  0.27   -
Arcavir        2011            201111060012      2011-11-06  5.12   -
Authentium     5.1.1           201111051756      2011-11-05  2.01   -
AVAST!         4.7.4           111106-1          2011-11-06  0.04   -
AVG            8.5.850         271.1.1/3941      2011-10-06  2.40   -
BitDefender    7.90123.9383167 7.39776           2011-11-06  5.32   Gen:Variant.Kazy.40580
ClamAV         0.97.1          13895             2011-11-06  0.16   -
Comodo         5.1             10684             2011-11-06  2.59   -
CP Secure      1.3.0.5         2011.11.05        2011-11-05  0.44   -
Dr.Web         5.0.2.3300      2011.11.06        2011-11-06  39.33  -
F-Prot         4.6.2.117       20111105          2011-11-05  1.25   -
F-Secure       7.02.73807      2011.11.05.05     2011-11-05  0.59   -
飞塔           4.3.370         14.321            2011-11-05  0.30   -
GData          22.2700         20111106          2011-11-06  7.00   Gen:Variant.Kazy.40580 [Engine:A]
ViRobot        20111105        2011.11.05        2011-11-05  0.49   -
Ikarus         T3.1.32.20.0    2011.11.06.79731  2011-11-06  5.04   -
江民杀毒       13.0.900        2011.11.05        2011-11-05  2.52   -
卡巴斯基       5.5.10          2011.11.06        2011-11-06  0.19   -
金山毒霸       2009.2.5.15     2011.11.6.9       2011-11-06  1.24   -
迈克菲         5400.1158       6521              2011-11-05  12.16  -
Microsoft      1.7801          2011.11.06        2011-11-06  3.62   -
NOD32          3.0.21          6584              2011-10-28  1.56   a variant of Win32/Kryptik.UZI trojan
Norman         6.07.11         6.07.00           2011-09-17  18.05  -
熊猫卫士       9.05.01         2011.11.06        2011-11-06  2.42   -
趋势科技       9.500-1005      8.554.03          2011-11-06  0.12   -
Quick Heal     11.00           2011.11.04        2011-11-04  2.56   -
瑞星           20.0            23.82.04.03       2011-11-04  3.40   -
Sophos         3.24.4          4.70              2011-11-06  4.70   -
Sunbelt        3.9.2515.2      10978             2011-11-05  12.46  -
赛门铁克       1.3.0.24        20111105.009      2011-11-05  0.23   -
nProtect       20111105.01     13134959          2011-11-05  18.86  Gen:Variant.Kazy.40580
The Hacker     6.7.0.1         v00338            2011-11-04  0.54   -
VBA32          3.12.16.4       20111104.0723     2011-11-04  5.09   -
VirusBuster    5.4.0.10        14.1.48.0/6631036 2011-11-05  0.10   -

倾枫锝渔♂

to  卡巴~~~
数字杀了  
不跑了 ~~~

夜ㄝ殇

毒霸miss

zhousulin5

2011-11-6 23:04:24    修改内核内存及对象    阻止并结束进程
进程: c:\downloads\info\info.exe
规则: [应用程序]?:\*

郑伟用户

夜ㄝ殇 发表于 2011-11-6 22:55
毒霸miss

毒霸对QZ支持不太好，鉴定一下就杀掉了