xKqhJ.exe

显示全部楼层 · 发表于 2011-6-27 12:37:47

avira kill

显示全部楼层 · 发表于 2011-6-27 13:15:11

2011-6-27 12:26:20 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\xkqhj\xkqhj.exe
命令行: "E:\DownLoads\xKqhJ\xKqhJ.exe"
规则: [应用程序]*

2011-6-27 12:26:28 创建新进程允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: e:\downloads\xkqhj\xkqhj.exe
命令行: E:\DownLoads\xKqhJ\xKqhJ.exe
规则: [应用程序]*

2011-6-27 12:26:34 修改其他进程的内存允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:26:45 创建文件允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2A0V6ALI\cr[1].exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:26:51 创建文件允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\xKqhJ.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:27:02 创建新进程允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xKqhJ.exe"
规则: [应用程序]*

2011-6-27 12:27:07 在其他进程中创建线程允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:27:11 创建文件允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\MHdsQ.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2011-6-27 12:27:17 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xKqhJ.exe
规则: [应用程序]*

2011-6-27 12:27:26 创建新进程允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MHdsQ.bat" "
规则: [应用程序]*

2011-6-27 12:27:34 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\VQAyq.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2011-6-27 12:27:47 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Serivces" /t REG_SZ /d "C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe" /f
规则: [应用程序]*

2011-6-27 12:27:55 修改其他进程的内存允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:28:01 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VQAyq.bat" "
规则: [应用程序]*

2011-6-27 12:28:10 修改其他进程的内存允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:28:15 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\reg.exe
命令行: REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Serivces" /t REG_SZ /d "C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe" /f
规则: [应用程序]*

2011-6-27 12:28:29 创建文件允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:28:42 创建新进程允许
进程: e:\downloads\xkqhj\xkqhj.exe
目标: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe"
规则: [应用程序]*

2011-6-27 12:28:47 在其他进程中创建线程允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:28:52 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:28:58 创建新进程允许
进程: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
目标: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe"
规则: [应用程序]*

2011-6-27 12:29:03 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\xkqhj.exe
目标: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe"
规则: [应用程序]*

2011-6-27 12:29:08 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:29:20 创建文件允许
进程: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
目标: C:\Documents and Settings\Administrator\Application Data\winlogon.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:29:25 创建新进程允许
进程: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
目标: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\Microsoft\#scvhost.exe"
规则: [应用程序]*

2011-6-27 12:29:34 设置文件隐藏属性允许
进程: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
目标: C:\Documents and Settings\Administrator\Application Data\winlogon.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:29:58 创建新进程允许
进程: c:\documents and settings\administrator\application data\microsoft\#scvhost.exe
目标: c:\documents and settings\administrator\application data\winlogon.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\winlogon.exe"
规则: [应用程序]*

2011-6-27 12:30:09 创建新进程允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: c:\documents and settings\administrator\application data\winlogon.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\winlogon.exe"
规则: [应用程序]*

2011-6-27 12:30:14 修改其他进程的内存允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:30:34 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\gETpD.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:30:42 创建新进程允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: c:\documents and settings\administrator\local settings\temp\getpd.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gETpD.exe"
规则: [应用程序]*

2011-6-27 12:30:55 创建新进程允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: c:\documents and settings\administrator\application data\winlogon.exe
命令行: "C:\Documents and Settings\Administrator\Application Data\winlogon.exe"
规则: [应用程序]*

2011-6-27 12:31:00 在其他进程中创建线程允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:31:07 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\getpd.exe
目标: c:\documents and settings\administrator\local settings\temp\getpd.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gETpD.exe
规则: [应用程序]*

2011-6-27 12:31:34 修改其他进程的内存允许
进程: c:\documents and settings\administrator\local settings\temp\getpd.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:31:43 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: D:\driver\info\explorer.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:31:52 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\getpd.exe
目标: c:\documents and settings\administrator\local settings\temp\getpd.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gETpD.exe
规则: [应用程序]*

2011-6-27 12:32:06 修改其他进程的内存允许
进程: c:\documents and settings\administrator\local settings\temp\getpd.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:32:11 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: D:\autorun.inf
规则: [文件]?:\

2011-6-27 12:32:32 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: E:\driver\info\explorer.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:32:38 修改其他进程的内存允许
进程: c:\documents and settings\administrator\local settings\temp\getpd.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:32:45 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: E:\autorun.inf
规则: [文件]?:\

2011-6-27 12:32:50 在其他进程中创建线程允许
进程: c:\documents and settings\administrator\local settings\temp\getpd.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-6-27 12:32:54 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: F:\driver\info\explorer.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-27 12:32:59 创建文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: F:\autorun.inf
规则: [文件]?:\

2011-6-27 12:33:16 修改文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: D:\autorun.inf
规则: [文件]?:\

2011-6-27 12:33:22 修改文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: E:\autorun.inf
规则: [文件]?:\

2011-6-27 12:33:25 修改文件允许
进程: c:\documents and settings\administrator\application data\winlogon.exe
目标: F:\autorun.inf
规则: [文件]?:\

显示全部楼层 · 发表于 2011-6-27 13:18:08

saga3721 发表于 2011-6-27 10:39
红伞杀“TR/Ircbrute.A.1357 [trojan]”

我的红伞没有反应额？右键也没有反应

显示全部楼层 · 发表于 2011-6-27 13:19:28

Johnny.R 发表于 2011-6-27 12:37
avira kill

我的avira miss，最新s版，高启发。

显示全部楼层 · 发表于 2011-6-27 13:19:55

lniwn 发表于 2011-6-27 13:18
我的红伞没有反应额？右键也没有反应

手动更新一下啊！要不就是跟什么冲突了……

显示全部楼层 · 发表于 2011-6-27 13:20:52

lniwn 发表于 2011-6-27 13:19
我的avira miss，最新s版，高启发。

更新下看看

显示全部楼层 · 发表于 2011-6-27 13:22:03

Johnny.R 发表于 2011-6-27 13:20
更新下看看

手动更新了下，右键杀了……看来这个样本是刚入库的。

显示全部楼层 · 发表于 2011-6-27 13:22:55

saga3721 发表于 2011-6-27 13:19
手动更新一下啊！要不就是跟什么冲突了……

我就装了个avira，然后就是个卫士。手动更新了下，右键kill。

显示全部楼层 · 发表于 2011-6-27 13:57:56

卡巴检测到威胁: Trojan.Win32.VBKrypt.dwdm

显示全部楼层 · 发表于 2011-6-27 15:49:59

360 SD kill

[病毒样本] xKqhJ.exe