毒网 Found In QQ群 By QQ尾巴（已更新，过卡巴的可执行文件放上来）

显示全部楼层 · 发表于 2007-8-8 09:49:00

http://bbs.kafan.cn/viewthread.php?tid=116185&extra=page%3D1

先捉两个上来

显示全部楼层 · 发表于 2007-8-8 09:50:24

毒网对火狐MS都没用咯~~

显示全部楼层 · 发表于 2007-8-8 09:57:26

原帖由 jimmyleo 于 2007-8-8 09:37 发表
cloud：

这几个你会解么？

我晕了

就是不会，上次我在卡饭提问过，就是没有人教我，看来我要上msdn问问高手

不过现在样本已经提取，试试样本先吧，放上来的全部过卡巴

显示全部楼层 · 发表于 2007-8-8 10:37:09

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.PSW.Win32.OnlineGames.tyg
病毒： Trojan.PSW.Win32.RocOnline.bk
病毒： Trojan.Win32.Agent.hv

显示全部楼层 · 发表于 2007-8-8 10:51:05

已删除: 木马程序 Trojan-Downloader.Win32.Small.exh 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\11Sy.exe//UPack//#
已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.uo 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\13.exe//UPack//#
已删除: 木马程序 Trojan-Spy.Win32.Delf.uv 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\2.exe//UPack//#
已删除: 木马程序 Trojan-Downloader.Win32.Small.exh 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\3.exe//UPack//#
已删除: 病毒 Heur.Invader (修改) 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\cmdbcs.exe//PE_Patch//UPack
已删除: 病毒 Heur.Trojan.Generic (修改) 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\zhao.exe//PE_Patch//UPack
已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.uo 文件: C:\Documents and Settings\wangcheng\桌面\过卡巴的可执行文件\13.exe//UPack

卡7

显示全部楼层 · 发表于 2007-8-8 11:43:19

Scanned disks, folders and files: C:\virus\过卡巴的可执行文件.zip
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/10.exe - probably a variant of Win32/PSW.OnLineGames.NDA trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/11Sy.exe - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/13.exe - Win32/PSW.OnLineGames.NDA trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/2.exe - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/3.exe - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/9Sy.exe - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/AlxRes070806.exe - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/az.exe ?RAR ?alg.exe - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/az.exe ?RAR ?hk.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/az.exe ?UPX v12_m2 - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/cmdbcs.dll - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/cmdbcs.exe - a variant of Win32/PSW.OnLineGames.YA trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/c_10093.n1s - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/dbnmpnay32.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/dhbini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/dhcsvc32.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/Downdll.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/Downdll1.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/jzfini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/mqdrc.sys - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/mydini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/myplayer.com - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/Netijo.dll - Win32/PSW.WOW.RO trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/npf.sys - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/NTDETECT.EXE - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/Packet.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/perfctrls.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/qjeini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/scrsys16_070806.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/tlmini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/WanPacket.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/wdbini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/wgdini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/winsys16_070806.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/winsys32_070806.dll - probably a variant of Win32/Spy.Delf.NEN trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/wldini.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/wpcap.dll - is OK
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/zhao.exe - probably a variant of Win32/Genetik trojan
C:\virus\过卡巴的可执行文件.zip ?ZIP ?过卡巴的可执行文件/zxgini.dll - is OK
Number of scanned files: 39
Number of threats found: 13
Time of completion: 11:41:27 Total scanning time: 11 sec (00:00:11)

显示全部楼层 · 发表于 2007-8-8 13:20:14

Starting the file scan:

Begin scan in 'G:\样本\过卡巴的可执行文件[1]'
G:\样本\过卡巴的可执行文件[1]\过卡巴的可执行文件\
  10.exe
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '46e75257.qua'!
  11Sy.exe
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '470c5259.qua'!
  13.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnLineGames.UO.60
   [INFO]    The file was moved to '46e7525b.qua'!
  2.exe
   [DETECTION] Is the Trojan horse TR/Agent.ABIO.21
   [INFO]    The file was moved to '471e5256.qua'!
  3.exe
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '46809a5b.qua'!
  9Sy.exe
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '4732527b.qua'!
  AlxRes070806.exe
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '47315295.qua'!
  az.exe
[0] Archive type: RAR SFX (self extracting)
--> alg.exe
--> hk.dll
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING] Infected files in archives cannot be repaired!
      [INFO]    The file was moved to '46e752a4.qua'!
  cmdbcs.dll
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '471d5297.qua'!
  cmdbcs.exe
   [DETECTION] Is the Trojan horse TR/Dropper.Gen
   [INFO]    The file was moved to '46839a94.qua'!
  c_10093.n1s
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '46ea5289.qua'!
  dbnmpnay32.dll
  dhbini.dll
  dhcsvc32.dll
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '471c5292.qua'!
  Downdll.dll
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '47305299.qua'!
  Downdll1.dll
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '46ae9a96.qua'!
  jzfini.dll
  mqdrc.sys
   [DETECTION] Contains suspicious code HEUR/Malware
   [INFO]    The file was moved to '471d529b.qua'!
  mydini.dll
  myplayer.com
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '472952a4.qua'!
  Netijo.dll
   [DETECTION] Is the Trojan horse TR/Drop.Agen.26778.A
   [INFO]    The file was moved to '472d5290.qua'!
  npf.sys
  NTDETECT.exe
   [DETECTION] Contains signature of the VBS script virus VBS/Nowed.1
   [INFO]    The file was moved to '46fd527f.qua'!
  Packet.dll
  perfctrls.dll
  qjeini.dll
  scrsys16_070806.dll
  tlmini.dll
  WanPacket.dll
  wdbini.dll
  wgdini.dll
  winsys16_070806.dll
  winsys32_070806.dll
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '47275294.qua'!
  wldini.dll
  wpcap.dll
  zhao.exe
   [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
   [INFO]    The file was moved to '471a5294.qua'!
  zxgini.dll

显示全部楼层 · 发表于 2007-8-8 13:47:55

以后拜托把N字节DLL去掉

显示全部楼层 · 发表于 2007-8-8 13:48:45

C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\10.exe - 特征码 'Trojan-Dropper.Win32.Agent.ane' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\11Sy.exe - 特征码 'Trojan-PWS.Win32.Small.br' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\13.exe - 特征码 'Trojan-PWS.Win32.Small.br' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\2.exe - 特征码 'Trojan-PWS.Win32.Small.br' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\3.exe - 特征码 'Trojan-PWS.Win32.Small.br' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\9Sy.exe - 特征码 'Trojan-PWS.Win32.Small.br' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\AlxRes070806.exe - 特征码 'Trojan-Spy.Win32.Delf.PD' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\az.exe:\alg.exe
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\az.exe:\hk.dll - 可疑代码段被发现 (Level: 30)
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\az.exe
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\cmdbcs.dll - 特征码 'Trojan-PWS.Win32.OnLineGames.es' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\cmdbcs.exe - 特征码 'Trojan-Downloader.Win32.Zlob.and' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\c_10093.n1s - 可疑代码段被发现 (Level: 30)
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\dbnmpnay32.dll
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\dhcsvc32.dll - 可疑代码段被发现 (Level: 30)
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\Downdll.dll - 特征码 'Trojan-Downloader.Win32.Agent.aqr' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\Downdll1.dll - 特征码 'Trojan-Downloader.Win32.Agent.aqr' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\mqdrc.sys - 可疑代码段被发现 (Level: 30)
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\myplayer.com - 特征码 'Trojan-Spy.Win32.Delf.PD' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\Netijo.dll - 可疑代码段被发现 (Level: 30)
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\npf.sys
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\NTDETECT.EXE
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\Packet.dll
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\scrsys16_070806.dll - 特征码 'Trojan.Delf.NEB' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\WanPacket.dll
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\winsys16_070806.dll - 特征码 'Trojan.Delf.NEB' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\winsys32_070806.dll - 特征码 'Trojan-Spy.Win32.Agent.pn' 被发现
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\wpcap.dll
C:\ABC\过卡巴的可执行文件\过卡巴的可执行文件\zhao.exe - 特征码 'Trojan-Spy.Win32.Agent.pn' 被发现

37 文件被扫描
(0 压缩档 6 文件)
16 特征码被侦测
5 可疑代码段被发现
耗时: 0:00.921

显示全部楼层 · 发表于 2007-8-8 14:24:10

微点直接报毒
木马名称:Trojan-PSW.Win32.OnLineGames.how
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\13.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知木马
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\ALXRES070806.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

木马名称:未知木马
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\MYPLAYER.COM
是木马程序!
已成功阻止其运行,是否要删除此文件?
木马名称:Trojan-PSW.Win32.WOW.atx
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\NETIJO.DLL
是木马程序!
已成功阻止其运行,是否要删除此文件?

下面是运行的
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\2.EXE
1) C:\DELETEFILEDOS.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\2.EXE
1) C:\DELETEFILEDOS.BAT
是否删除可疑程序?

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\3.EXE
1) C:\DELETEFILEDOS.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\9SY.EXE
1) C:\DELETEFILEDOS.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\9SY.EXE
1) C:\DELETEFILEDOS.BAT
是否删除可疑程序?程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\10.EXE
1) C:\DELETEFILEDOS.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\10.EXE
1) C:\DELETEFILEDOS.BAT
是否删除可疑程序?程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\11SY.EXE
1) C:\DELETEFILEDOS.BAT
是可疑程序!
试图删除文件!
是否阻止该进程继续运行?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\11SY.EXE
1) C:\DELETEFILEDOS.BAT
是否删除可疑程序?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\AZ.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SYSTEM32\DHCSVC32.DLL
2) C:\WINDOWS.0\SYSTEM32\DLLCACHE\C_10093.N1S
3) C:\WINDOWS.0\SYSTEM32\DRIVERS\MQDRC.SYS
是否删除木马程序及其衍生物?
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\CMDBCS.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\CMDBCS.EXE
2) C:\WINDOWS.0\SYSTEM32\CMDBCS.DLL
是否删除木马程序及其衍生物?程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\过卡巴的可执行文件\ZHAO.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SYSTEM32\DOWNDLL.DLL
是否删除木马程序及其衍生物?
NTDETECT看见过好多遍了，运行后无效指令

[病毒样本] 毒网 Found In QQ群 By QQ尾巴（已更新，过卡巴的可执行文件放上来）