QVM报 2 可疑

显示全部楼层 · 发表于 2012-4-26 07:40:03

File ID    Filename    Size (Byte) Result
26838806    Temp.rar 176.66 KB OK
A listing of files contained inside archives alongside their results can be found below:
File ID    Filename    Size (Byte) Result
26838807    HNSZS0.EXE    209.54 KB    UNDER ANALYSIS
26838808    HNSZS1.EXE    82.54 KB    UNDER ANALYSIS

显示全部楼层 · 发表于 2012-4-26 07:40:46

本帖最后由 liulangzhecgr 于 2012-4-26 07:48 编辑

2012-4-26 07:38:37 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\temp\hnszs0.exe
命令行: "E:\downloads\管理员\Temp\HNSZS0.EXE"
规则: [应用程序]*

2012-4-26 07:38:40 创建新进程允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: e:\downloads\管理员\temp\hnszs0.exe
命令行: E:\downloads\管理员\Temp\HNSZS0.EXE
规则: [应用程序]*

2012-4-26 07:38:55 创建文件夹允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: C:\Documents and Settings\Administrator\Application Data\Armea
规则: [应用程序]* -> [文件]*

2012-4-26 07:39:02 修改注册表值允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\explorer.exe
值: %windir%\explorer.exe
规则: [应用程序]* -> [注册表]*

2012-4-26 07:39:05 修改注册表值允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\%windir%\explorer.exe
值: %windir%\explorer.exe
规则: [应用程序]* -> [注册表]*

2012-4-26 07:39:08 创建文件允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\tmpcc3e81ba.bat
规则: [应用程序]* -> [文件]*

2012-4-26 07:39:10 修改文件允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\tmpcc3e81ba.bat
规则: [应用程序]* -> [文件]*

2012-4-26 07:39:12 创建新进程允许
进程: e:\downloads\管理员\temp\hnszs0.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpcc3e81ba.bat"
规则: [应用程序]*

2012-4-26 07:39:16 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: E:\downloads\管理员\Temp\HNSZS0.EXE
规则: [应用程序]* -> [文件]*

2012-4-26 07:39:18 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\tmpcc3e81ba.bat
规则: [应用程序]* -> [文件]*

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2012-4-26 07:42:09 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\temp\hnszs1.exe
命令行: "E:\downloads\管理员\Temp\HNSZS1.EXE"
规则: [应用程序]*

2012-4-26 07:42:11 创建新进程允许
进程: e:\downloads\管理员\temp\hnszs1.exe
目标: e:\downloads\管理员\temp\hnszs1.exe
命令行: E:\downloads\管理员\Temp\HNSZS1.EXE
规则: [应用程序]*

2012-4-26 07:42:21 创建新进程允许
进程: e:\downloads\管理员\temp\hnszs1.exe
目标: c:\windows\system32\wuauclt.exe
命令行: C:\WINDOWS\system32\wuauclt.exe
规则: [应用程序]*

2012-4-26 07:42:27 修改其他进程的内存允许
进程: e:\downloads\管理员\temp\hnszs1.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序]*

2012-4-26 07:42:41 创建文件夹允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\Documents and Settings\All Users\Local Settings
规则: [应用程序]* -> [文件]*

2012-4-26 07:42:45 创建文件夹允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\Documents and Settings\All Users\Local Settings\Temp
规则: [应用程序]* -> [文件]*

2012-4-26 07:42:51 创建文件允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\Documents and Settings\All Users\Local Settings\Temp\mshuopkq.pif
规则: [应用程序]* -> [文件]*

2012-4-26 07:43:00 创建注册表项允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Policies\Explorer\Run
规则: [应用程序]* -> [注册表]*

2012-4-26 07:43:06 修改注册表项权限允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
规则: [应用程序]* -> [注册表]*

2012-4-26 07:43:12 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\25318
值: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mshuopkq.pif
规则: [应用程序]* -> [注册表]*

2012-4-26 07:43:14 修改注册表项权限允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
规则: [应用程序]* -> [注册表]*

2012-4-26 07:43:17 删除文件允许
进程: c:\windows\system32\wuauclt.exe
目标: E:\downloads\管理员\Temp\HNSZS1.EXE
规则: [应用程序]* -> [文件]*

2012-4-26 07:43:24 访问网络允许
进程: c:\windows\system32\wuauclt.exe
目标: UDP [本机 : 2711] -> [8.8.4.4 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-4-26 07:43:32 修改其他进程的内存允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-4-26 07:43:49 在其他进程中创建线程允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2012-4-26 07:43:55 修改其他进程的内存允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2012-4-26 07:44:00 在其他进程中创建线程允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2012-4-26 07:44:08 修改注册表值允许
进程: c:\windows\system32\wuauclt.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\477ABE77
值: 50 4b 03 04 00 2e 00 00 07 1b 00 00 77 be 7a 47 37 1a d8 4e 23 c3 11 b1 8d 87 89 f1 3e 7f be 2e 13 4e da 68 0b 01 fe 43 1c 75 df d4 2d 89 fd 35 f5 67 a6 04 cb 3b 20 71 0e fe 01 60 39 06 bf f8 d7 34 d4 0a f1 fc ae 9b 62 62 6c f7 2f 1d c0 52 8f 78 6d bc 3e b0 70 31 11 16 18 b0 52 18 03 fa 33 65 24 6e da ed 17 82 84 ad 86 bd 61 b8 13 b0 53 a1 94 4b ea 13 83 4b b2 61 07 2a 23 d7 7e c1 fe 30 e0 c5 65 7c 2c 2f 7b 85 c1 58 13 ee 64 20 57 6d b9 e1 a9 4e 8f db e2 df 39 b1 17 0f 2b 35 b0 8e 25 63 93 ef e5 6a 48 3e 23 5e bc 4d 79 9f c7 92 cd 64 c1 5a 30 bd 93 0a eb 68 68 c3 d4 21 99 09 4f 36 c7 17 df 29 00 8c 1c 29 80 8a a4 e7 e5 8f 63 c6 1e 78 d5 45 37 df 49 f9 7c 0f e4 5d c3 b9 d1 7c bf 2d 2a 7e 7c 65 73 21 da 7c ab 39 1a 7c d1 da 3a c4 99 b5 0e 7d 07 f6 14 28 85 0f 10 40 df f0 60 4e e2 fc 8f fb 57 9b cc 88 5b 76 b8 56 b2 a9 d0 ae 51 32 74 b4 e5 c9 be 77 10 69 1a 18 28 0d e8 a9 9e 38 88 96 93 a5 33 05 4a da 55 90 58 ab 8e 8e 8a b4 83 3b ec e5 bf 98 5f bd b3 90 70 fe 09 a2 85 d7 c9 2d 19 c2 b3 58 d7 45 bb 2c 85 0c 2f 5e a8 1d 7b b0 2c 5f 9d 45 ed 49 bf bb 1e 06 77 5d 0d 93 60 b6 d7 d2 80 0c d0 a7 ee 0d ec bb 80 6b 7c 5c 06 e2 c1 49 82 01 9e 39 3b 52 cc 7c 3f 76 23 3d 5e e2 73 24 94 73 a4 f4 9e 03 28 36 fd 69 2d 7b f4 61 d7 45 46 b8 06 42 4b 94 ab 46 65 0a 29 84 97 e1 bc 76 74 71 7b 57 c4 cc 55 b0 ef 9a d1 40 ad 36 a2 e4 56 0d f0 8a 86 be 1d c2 65 b7 8e 42 32 c8 cd dc 91 30 20 17 3b 45 a2 ef ee 64 4d 13 b2 37 98 74 c2 37 3b 28 b7 78 80 ab 62 c4 e0 ed 66 08 c9 1f 92 1f 3e c2 71 81 03 6f 03 de 06 66 a6 c4 79 fa b0 00 fe 07 51 06 0e e1 26 d1
规则: [应用程序]* -> [注册表]*

2012-4-26 07:44:28 创建文件允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\006251dc.exe
规则: [应用程序]* -> [文件]*

2012-4-26 07:44:32 创建新进程允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\documents and settings\administrator\local settings\temp\006251dc.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\006251dc.exe
规则: [应用程序]*

2012-4-26 07:44:49 修改文件允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\Documents and Settings\All Users\Local Settings\Temp\mshuopkq.pif
规则: [应用程序]* -> [文件]*

2012-4-26 07:45:03 创建文件允许
进程: c:\windows\system32\wuauclt.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\0062e90b.exe
规则: [应用程序]* -> [文件]*

2012-4-26 07:45:09 创建新进程允许
进程: c:\windows\system32\wuauclt.exe
目标: c:\documents and settings\administrator\local settings\temp\0062e90b.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\0062e90b.exe
规则: [应用程序]*

显示全部楼层 · 发表于 2012-4-26 08:05:15

本帖最后由 xwhmm 于 2012-4-26 08:40 编辑

占个位先

一不小心,秒杀了

显示全部楼层 · 发表于 2012-4-26 08:39:09

fstp58拦截下载，看样子是O引擎报的！

显示全部楼层 · 发表于 2012-4-26 09:14:49

消停发表于 2012-4-26 08:39
fstp58拦截下载，看样子是O引擎报的！

STOP! Bitdefender blocked this web page.

The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... ;aid=MTYxOTc3OXw...
Detected viruses: Trojan.Generic.KD.607935

Access from your browser has been blocked.

Take me back to safety

显示全部楼层 · 发表于 2012-4-26 09:29:07

完整路径: d:\tddownload\temp.rar
威胁: 压缩的威胁
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/4/26 ( 9:27:07 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
hnszs1.exe
[包含在] d:\tddownload\temp.rar
已删除
hnszs0.exe
[包含在] d:\tddownload\temp.rar
已删除
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2012-4-26 09:32:25

过小红伞和金山，
双击卡巴杀

显示全部楼层 · 发表于 2012-4-26 10:15:34

To ESET.

显示全部楼层 · 发表于 2012-4-26 11:08:26

蜘蛛kill

[可疑文件] QVM报 2 可疑

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源