1.exe,2.exe,3.exe,4.exe,5.exe,6.exe，看看你的杀软杀几个

saga3721

思齐鼠 发表于 2011-6-28 16:01
微点>>>>>4

微点遇上CMD流那基本上就没戏了

a256886572008

saga3721 发表于 2011-6-28 16:04
那就是说OP报的conime作击键记录，是它自己本身出现时就有的动作喽？但是我实机立的OP中，conime并没有这 ...

應該說現在HIPS報  log key stroke 已經可以不用理會了，

就和comodo d+ 報 正常程序 訪問ctfmon.exe的內存一樣。

思齐鼠

saga3721 发表于 2011-6-28 16:05
微点遇上CMD流那基本上就没戏了

还好还好，刚刚爬了一个伪装的flash player微点不杀···结果我运行释放病毒文件防护就给杀了

blue_仰望

扫描开始时间: 2011年6月28日  16:21

正在启动文件扫描:

开始在“C:\Users\blue\Downloads\6X.rar”中扫描
C:\Users\blue\Downloads\6X.rar
[0] 存档类型: RAR
[检测]        是 TR/Dropper.Gen 特洛伊木马
  --> 2.exe
  [检测]        是 TR/Dropper.Gen 特洛伊木马
  --> 3.exe
  [检测]        是 TR/Spy.Gen 特洛伊木马
  --> 5.exe
    [1] 存档类型: RSRC
--> Object
[检测]        是 TR/Spy.Gen 特洛伊木马
--> 6.exe
[检测]        包含 BDS/Backdoor.Gen 后门程序的识别模式(有害)
--> 1.exe
[检测]        是 TR/Dropper.Gen 特洛伊木马


4上报

liulangzhecgr

2011-6-28 16:03:45    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\6x\3.exe
命令行: "E:\DownLoads\6X\3.exe"
规则: [应用程序]*

2011-6-28 16:03:55    创建文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\1016.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-6-28 16:04:00    设置文件隐藏属性    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\1016.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-6-28 16:04:04    创建文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\WinWcolw.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-6-28 16:04:07    设置文件隐藏属性    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\WinWcolw.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-6-28 16:04:30    修改文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\WinWcolw.ocx
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.ocx

2011-6-28 16:04:35    创建文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\New.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:04:38    修改文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\New.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:04:46    修改文件    阻止
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\dsound.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:05:24    修改文件    阻止
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\ddraw.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:05:43    修改文件    阻止
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\comres.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:06:03    修改文件    阻止
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\ksuser.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:06:19    修改文件    阻止
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\olepro32.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll


2011-6-28 16:06:26    创建文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\font01.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:06:29    设置文件隐藏属性    允许
进程: e:\downloads\6x\3.exe
目标: C:\WINDOWS\system32\font01.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:06:36    创建新进程    允许
进程: e:\downloads\6x\3.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\font01.dll,CheckIME fuck121
规则: [应用程序]*

2011-6-28 16:06:41    创建文件    允许
进程: e:\downloads\6x\3.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\wowhm01.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2011-6-28 16:06:44    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*

2011-6-28 16:06:50    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\font01.dll,CheckIME fuck121
规则: [应用程序]*

2011-6-28 16:06:53    创建新进程    允许
进程: e:\downloads\6x\3.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wowhm01.bat
规则: [应用程序]*

2011-6-28 16:06:56    底层键盘操作    允许
进程: c:\windows\system32\conime.exe
规则: [应用程序]*

2011-6-28 16:07:00    修改文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\WINDOWS\system32\New.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-6-28 16:07:04    结束其他进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\conime.exe
规则: [应用程序]*

2011-6-28 16:07:07    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: E:\DownLoads\6X\3.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-28 16:07:10    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\wowhm01.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

blue_仰望

上报红伞，刚返回的结果

1. Dear Sir or Madam,
   
2. 
   
3. Thank you for your email to Avira's virus lab.
   
4. Tracking number: INC00772241.
   
5. 
   
6. 
   
7. A listing of files alongside their results can be found below:
   
8. 
   
9. File ID Filename Size (Byte) Result
   
10. 26201463 4.exe 101.56 KB CLEAN
    
11. 
    
12. 
    
13. Please find a detailed report concerning each individual sample below:
    
14. 
    
15. Filename Result
    
16. 4.exe CLEAN
    
17. 
    
18. The file '4.exe' has been determined to be 'CLEAN'.Our analysts did not discover any malicious content.
    
19. Alternatively you can see the analysis result here:
    
20. http://analysis.avira.com/samples/details.php?uniqueid=UpT60dpIADT3f2d3SgT7Q9LTNAsjHET6&incidentid=772241
    
21. 
    
22. An overview of all your submissions can be found here:
    
23. http://analysis.avira.com/samples/details.php?uniqueid=UpT60dpIADT3f2d3SgT7Q9LTNAsjHET6
    
24. 
    
25. 
    
26. 
    
27. 
    
28. Please note: If you have specific questions please address them to support@avira.com
    
29. 
    
30. Kind regards
    
31. Avira Virus Lab
    
32. 
    
33. ---------------------------------------------
    
34. Avira GmbH
    
35. Kaplaneiweg 1, 88069 Tettnang, Germany
    
36. Phone: +49 (0) 7542-500 0
    
37. Fax: +49 (0) 7542-500 3000
    
38. Internet: http://www.avira.com
    
39. 
    
40. CEO: Tjark Auerbach
    
41. Headquarter: Tettnang
    
42. Commercial register: AG Ulm HRB 630992
    
43. ---------------------------------------------
    

复制代码

知微

卡巴斯基阻止下载

歌歌的人

剩下4.EXE

Nocria

4.exe BD还没有入库

Cosinea

mse 2个