2只新木马(用Norton的人回报一下吧)

显示全部楼层 · 发表于 2007-6-24 10:56:31

2只新木马

麻烦大家测试并回报
目前确定Norton扫不到
用Norton的人回报一下吧

显示全部楼层 · 发表于 2007-6-24 10:57:36

avpclub来的朋友？？

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\wintoo.zip'
C:\Documents and Settings\Administrator\My Documents\
  wintoo.zip
[0] Archive type: ZIP
--> taiwan3pa.exe
      [DETECTION] Contains signature of the dropper DR/PSW.OnLineGames.SE
      [WARNING] Infected files in archives cannot be repaired!
      [1] Archive type: RAR SFX (self extracting)
      --> wintoo.exe
         [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
         [WARNING] Infected files in archives cannot be repaired!
      --> to1.jpg
--> wintoo.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
      [WARNING] Infected files in archives cannot be repaired!
      [WARNING] The file was ignored!

显示全部楼层 · 发表于 2007-6-24 10:59:44

detected: Trojan program Trojan-PSW.Win32.OnLineGames.se File: C:\Documents and Settings\Owner\×ÀÃæ\wintoo.zip/taiwan3pa.exe//data.rar/wintoo.exe
detected: Trojan program Trojan-PSW.Win32.OnLineGames.se File: C:\Documents and Settings\Owner\×ÀÃæ\wintoo.zip/wintoo.exe

显示全部楼层 · 发表于 2007-6-24 10:59:57

deleted: Trojan program Trojan-PSW.Win32.OnLineGames.se File: C:\Documents and Settings\Whguli\Local Settings\Temporary Internet Files\Content.IE5\O4ZC48CS\wintoo[1].zip/taiwan3pa.exe//data.rar/wintoo.exe
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.se File: C:\Documents and Settings\Whguli\Local Settings\Temporary Internet Files\Content.IE5\O4ZC48CS\wintoo[1].zip/wintoo.exe

显示全部楼层 · 发表于 2007-6-24 11:01:07

显示全部楼层 · 发表于 2007-6-24 11:01:56

運行wintoo.exe，發現下列行為，被EQ-Secure RC2攔截！

2007-06-24 11:05:08 运行应用程序    操作:允许
进程路径:C:\windows\Explorer.EXE
文件路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
规则:应用程序规则->系統程序->%windir%\Explorer.EXE

2007-06-24 11:05:08 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Local Settings\Temp\v7zy.dll
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll

2007-06-24 11:05:08 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Program Files\Windows Media Player\svchost.exe
规则:所有程序规则->保護安全軟體->C:\Program Files\*

2007-06-24 11:05:08 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Program Files\Windows Media Player\svchost.exe
规则:所有程序规则->保護安全軟體->C:\Program Files\*

2007-06-24 11:05:08 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Program Files\Windows Media Player\svchost.exe
规则:所有程序规则->保護安全軟體->C:\Program Files\*

2007-06-24 11:05:11 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Program Files\Windows Media Player\svchost.exe
规则:所有程序规则->保護安全軟體->C:\Program Files\*

2007-06-24 11:05:11 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Program Files\Windows Media Player\svchost.exe
规则:所有程序规则->保護安全軟體->C:\Program Files\*

2007-06-24 11:05:11 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Program Files\Windows Media Player\svchost.exe
规则:所有程序规则->保護安全軟體->C:\Program Files\*

2007-06-24 11:05:11 修改注册表内容    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Userinit
注册表数据:C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,
规则:所有程序规则->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

2007-06-24 11:05:11 创建文件    操作:阻止
进程路径:D:\桌面\virus\Tenkiwintoo\wintoo.exe
文件路径:C:\Documents and Settings\Hung  Jui Hung\Local Settings\Temp\$$c213.tmp.bat
规则:所有程序规则->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat

1.他會在C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\生成
v7zy.dll
2.他會在C:\Program Files\Windows Media Player\生成
svchost.exe
3.他會修改注册表内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,
4.他會在C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\生成
$$c157.tmp.bat

显示全部楼层 · 发表于 2007-6-24 11:03:03

已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.se 文件: C:\Documents and Settings\qh\桌面\wintoo.zip/taiwan3pa.exe//data.rar/wintoo.exe
已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.se 文件: C:\Documents and Settings\qh\桌面\wintoo.zip/wintoo.exe

卡6报

显示全部楼层 · 发表于 2007-6-24 11:05:48

扫描开始时间: 2007-6-24 11:11:25
扫描日志
NOD32 版本 2349 (20070623) NT
命令行: F:\virus\wintoo.zip

日期: 2007年6月24日时间: 11:11:26
反 Rookits 技术已启用。
已扫描磁盘、文件夹和文件: F:\virus\wintoo.zip
F:\virus\wintoo.zip ?ZIP ?taiwan3pa.exe ?RAR ?wintoo.exe<病毒 - 可能是 Win32/Pacex.Gen 病毒变种>
F:\virus\wintoo.zip ?ZIP ?wintoo.exe<病毒 - 可能是 Win32/Pacex.Gen 病毒变种>
已扫描文件数量: 3
已发现病毒数量: 2
完成时间: 11:11:26 总共扫描时间: 0 秒 (00:00:00)

显示全部楼层 · 发表于 2007-6-24 11:52:25

AVAST全灭，，维金？

显示全部楼层 · 发表于 2007-6-24 12:16:14

VIKING

酝屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯图
License expired
License #000000119 Valid till 2006-12-31
Demo mode
Command line options:
/r=susp.rpt /ha=3 /collect_suspects /nc /af+ /ar+ /bt- /mr- /ml+ /rw+ /as-
Ctrl-C will terminate program execution

*:
C:\
C:\ABC\wintoo.zip:<ZIP>\...\wintoo.exe : infected MalwareScope.Worm.Viking.3
C:\ABC\wintoo.zip:<ZIP>\wintoo.exe : infected MalwareScope.Worm.Viking.3
Program execution terminated by user

Directories    : 3    Files in archives:    Files on disks:
Archives:                - total    : 4    - total    : 18
- scanned       : 2    -  scanned : 4    - scanned    : 18
- contain viruses : 2    -  infected : 3    - infected : 1
- deleted       : 0    -  suspicious : 0    - suspicious  : 0

Startup : 12:21:00 24-06-2007
End       : 12:21:03 24-06-2007
Total time : 00:00:03
终止批处理操作吗(Y/N)?

[病毒样本] 2只新木马(用Norton的人回报一下吧)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块