[病毒样本] 17

显示全部楼层 · 发表于 2012-1-5 16:23:01

金山卫士KILL

显示全部楼层 · 发表于 2012-1-5 16:30:19

to eset

显示全部楼层 · 发表于 2012-1-5 17:04:48

STOP! Bitdefender blocked this web page.
The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... DQ5MDQzOHwxMTk2NDQ0
Detected viruses: Trojan.Spy.YGX

Access from your browser has been blocked.
Take me back to safety

显示全部楼层 · 发表于 2012-1-5 17:27:42

2012-1-5 15:10:49 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\17\17.exe
命令行: "E:\downloads\17\17.exe"
规则: [应用程序]*

2012-1-5 15:11:46 向其他进程发送消息允许
进程: e:\downloads\17\17.exe
目标: c:\windows\system32\csrss.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-1-5 15:12:03 修改内核内存及对象允许
进程: e:\downloads\17\17.exe
规则: [应用程序]*

2012-1-5 15:12:17 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\UZE0z9xS9gE.exe
规则: [应用程序]* -> [文件]*

2012-1-5 15:12:19 删除文件允许
进程: c:\windows\explorer.exe
目标: E:\downloads\17\17.exe
规则: [应用程序]* -> [文件]*

2012-1-5 15:13:10 创建文件夹允许
进程: c:\windows\system32\svchost.exe
目标: C:\Documents and Settings\Administrator\Application Data\MicroST
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-1-5 15:13:15 创建文件夹允许
进程: c:\windows\system32\svchost.exe
目标: C:\414p6AGLIDqjZfV
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

2012-1-5 15:13:42 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: C:\414p6AGLIDqjZfV\wndsksi.inf
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*

显示全部楼层 · 发表于 2012-1-5 17:28:37

本帖最后由 liulangzhecgr 于 2012-1-5 17:42 编辑

允许修改内核内存和对象后，md检测不了啥时候多出了svchost.exe进程...

用thereatenreveal,tdsskiller,windows清理助手（用xt检测出启动项，无其他异常现象）...检测不到异常情况

c盘根目录一片雪白...

在MD中

真是

没有发现系统文件被更改

显示全部楼层 · 发表于 2012-1-5 17:32:15

STOP! Bitdefender blocked this web page.

The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... DM3MTUxNXwxMTk2NDQ0
Detected viruses: Trojan.Spy.YGX

Access from your browser has been blocked.

Take me back to safety

显示全部楼层 · 发表于 2012-1-5 18:06:14

liulangzhecgr 发表于 2012-1-5 17:28
允许修改内核内存和对象后，md检测不了啥时候多出了svchost.exe进程...

用thereatenreveal,tdsskiller,w ...

耐心等待，好像会创建启动项

显示全部楼层 · 发表于 2012-1-5 18:19:38

wjcharles 发表于 2012-1-5 18:06
耐心等待，好像会创建启动项

创建的启动项，md反映过，xt中也能看到...究竟为什么c盘根目录下看不到任何文件是个问题所在...

显示全部楼层 · 发表于 2012-1-5 20:00:30

过瑞星，上报

显示全部楼层 · 发表于 2012-1-5 20:14:20

木马

[病毒样本] 17

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源