继续捆绑木马

显示全部楼层 · 发表于 2012-7-19 18:36:49

安装过程中微点杀

显示全部楼层 · 发表于 2012-7-19 19:01:16

完整路径: c:\documents and settings\administrator\桌面\我的资料\game456.exe
威胁: WS.Reputation.1
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012-7-19 ( 19:00:57 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
中
此文件具有中等程度风险。
____________________________
威胁详细信息
威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全
____________________________
http://www.d1pp.com:8080/xiazai/game456.exe 已下载文件game456.exe
威胁名称:
WS.Reputation.1自
d1pp.com
____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\我的资料\game456.exe
已删除
____________________________
文件指纹 - SHA:
bc6292ffb5225b132012e2396be76f30ac46aeed7f162dbca395071ab3f52511
____________________________
文件指纹 - MD5:
9b8c331c0c2267b42c37e6f4e918185c
____________________________

显示全部楼层 · 发表于 2012-7-19 19:04:54

第一个网站，金山直接拦截

第二个，诺顿 KILL

完整路径: c:\users\microsoft\桌面\game456.exe
威胁: WS.Reputation.1
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2012/7/19 ( 19:04:13 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
中
此文件具有中等程度风险。
____________________________
威胁详细信息
威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全
____________________________
http://www.d1pp.com:8080/xiazai/game456.exe 已下载文件game456.exe
威胁名称:
WS.Reputation.1自
d1pp.com
____________________________
文件操作
文件: c:\users\microsoft\桌面\game456.exe
已删除
____________________________
文件指纹 - SHA:
bc6292ffb5225b132012e2396be76f30ac46aeed7f162dbca395071ab3f52511
____________________________
文件指纹 - MD5:
9b8c331c0c2267b42c37e6f4e918185c
____________________________

显示全部楼层 · 发表于 2012-7-19 21:40:25

小红伞就一个。隔离。。。

Avira Internet Security 2012
报告文件日期: 2012年7月19日  21:38

正在扫描 3903794 个病毒变种和恶意程序。

程序正以无限制的完整版的形式运行。
可以使用在线服务:

被许可人       : 叶涛黄
序列号       : 2214442955-ISECE-0000001
平台          : Windows 7 x64
Windows 版本 : (Service Pack 1)  [6.1.7601]
启动模式       : 已正常启动
用户名       : messi
计算机名称       : MESSI-PC

版本信息:
BUILD.DAT : 12.0.0.125          Bytes 2012/2/3 23:01:00
AVSCAN.EXE : 12.1.0.20    492496 Bytes 2012/2/3 07:22:40
AVSCAN.DLL : 12.1.0.18    28112 Bytes 2012/2/3 07:23:06
LUKE.DLL    : 12.1.0.19    68304 Bytes 2012/2/3 07:22:49
AVSCPLR.DLL  : 12.3.0.14    97032 Bytes 2012/7/19 12:31:39
AVREG.DLL : 12.3.0.17    232200 Bytes 2012/7/19 12:31:35
VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009/11/6 11:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes  2010/12/14 16:20:01
VBASE002.VDF : 7.11.19.170 14374912 Bytes  2011/12/20 07:22:58
VBASE003.VDF : 7.11.21.238  4472832 Bytes 2012/2/1 12:28:23
VBASE004.VDF : 7.11.26.44 4329472 Bytes 2012/3/28 12:29:04
VBASE005.VDF : 7.11.34.116  4034048 Bytes 2012/6/29 12:29:40
VBASE006.VDF : 7.11.34.117    2048 Bytes 2012/6/29 12:29:41
VBASE007.VDF : 7.11.34.118    2048 Bytes 2012/6/29 12:29:41
VBASE008.VDF : 7.11.34.119    2048 Bytes 2012/6/29 12:29:42
VBASE009.VDF : 7.11.34.120    2048 Bytes 2012/6/29 12:29:42
VBASE010.VDF : 7.11.34.121    2048 Bytes 2012/6/29 12:29:43
VBASE011.VDF : 7.11.34.122    2048 Bytes 2012/6/29 12:29:43
VBASE012.VDF : 7.11.34.123    2048 Bytes 2012/6/29 12:29:44
VBASE013.VDF : 7.11.34.124    2048 Bytes 2012/6/29 12:29:44
VBASE014.VDF : 7.11.34.201 169472 Bytes 2012/7/2 12:29:47
VBASE015.VDF : 7.11.35.19 122368 Bytes 2012/7/4 12:29:50
VBASE016.VDF : 7.11.35.87 146944 Bytes 2012/7/6 12:29:53
VBASE017.VDF : 7.11.35.143 126464 Bytes 2012/7/9 12:29:55
VBASE018.VDF : 7.11.35.235 151552 Bytes 2012/7/12 12:29:59
VBASE019.VDF : 7.11.36.45 118784 Bytes 2012/7/13 12:30:01
VBASE020.VDF : 7.11.36.107 123904 Bytes 2012/7/16 12:30:03
VBASE021.VDF : 7.11.36.147 238592 Bytes 2012/7/17 12:30:06
VBASE022.VDF : 7.11.36.209 135168 Bytes 2012/7/19 12:30:09
VBASE023.VDF : 7.11.36.210    2048 Bytes 2012/7/19 12:30:10
VBASE024.VDF : 7.11.36.211    2048 Bytes 2012/7/19 12:30:10
VBASE025.VDF : 7.11.36.212    2048 Bytes 2012/7/19 12:30:11
VBASE026.VDF : 7.11.36.213    2048 Bytes 2012/7/19 12:30:11
VBASE027.VDF : 7.11.36.214    2048 Bytes 2012/7/19 12:30:12
VBASE028.VDF : 7.11.36.215    2048 Bytes 2012/7/19 12:30:12
VBASE029.VDF : 7.11.36.216    2048 Bytes 2012/7/19 12:30:13
VBASE030.VDF : 7.11.36.217    2048 Bytes 2012/7/19 12:30:13
VBASE031.VDF : 7.11.36.222    5120 Bytes 2012/7/19 13:22:20
引擎版本       : 8.2.10.118
AEVDF.DLL : 8.1.2.10    102772 Bytes 2012/7/19 12:31:11
AESCRIPT.DLL : 8.1.4.34    455035 Bytes 2012/7/19 12:31:07
AESCN.DLL : 8.1.8.2    131444 Bytes 2012/7/19 12:31:03
AESBX.DLL : 8.2.5.12    606578 Bytes 2012/7/19 12:31:16
AERDL.DLL : 8.1.9.15    639348 Bytes 2012/1/20 16:19:21
AEPACK.DLL : 8.3.0.16    807287 Bytes 2012/7/19 12:30:58
AEOFFICE.DLL : 8.1.2.42    201083 Bytes 2012/7/19 12:30:51
AEHEUR.DLL : 8.1.4.76    5063031 Bytes 2012/7/19 12:30:49
AEHELP.DLL : 8.1.23.2    258422 Bytes 2012/7/19 12:30:29
AEGEN.DLL : 8.1.5.34    434548 Bytes 2012/7/19 12:30:27
AEEXP.DLL : 8.1.0.68    86389 Bytes 2012/7/19 12:31:20
AEEMU.DLL : 8.1.3.2    393587 Bytes 2012/7/19 12:30:24
AECORE.DLL : 8.1.27.2    201078 Bytes 2012/7/19 12:30:20
AEBB.DLL    : 8.1.1.0       53618 Bytes 2012/1/20 16:19:16
AVWINLL.DLL  : 12.1.0.17    27344 Bytes 2012/2/3 07:22:41
AVPREF.DLL : 12.1.0.17    51920 Bytes 2012/2/3 07:22:40
AVREP.DLL : 12.3.0.15    179208 Bytes 2012/7/19 12:31:38
AVARKT.DLL : 12.1.0.23    208848 Bytes 2012/2/3 07:22:38
AVEVTLOG.DLL : 12.1.0.17    169168 Bytes 2012/2/3 07:22:38
SQLITE3.DLL  : 3.7.0.0    398288 Bytes 2012/2/3 07:22:52
AVSMTP.DLL : 12.1.0.17    62928 Bytes 2012/2/3 07:22:40
NETNT.DLL : 12.1.0.17    17104 Bytes 2012/2/3 07:22:49
RCIMAGE.DLL  : 12.1.0.13 4820688 Bytes 2012/1/20 16:20:23
RCTEXT.DLL : 12.1.0.16    91600 Bytes 2012/1/20 16:20:23

扫描的配置设置:
作业名称.............: ShlExt
配置文件.............: C:\Users\messi\AppData\Local\Temp\ad6368be.avp
日志记录.............: 默认
主操作..............: 交互式
辅助操作.............: 忽略
扫描主启动扇区..........: 打开
扫描启动扇区...........: 打开
启动扇区.............: D:,
进程扫描.............: 关闭
扫描注册表............: 关闭
搜索 Rootkit.......: 关闭
系统文件完整性检查........: 关闭
扫描所有文件...........: 所有文件
扫描存档.............: 打开
Recursion depth..: 20
智能扩展.............: 打开
宏启发式.............: 打开
文件启发式............: 高
偏离风险类别...........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

扫描开始时间: 2012年7月19日  21:38

正在启动文件扫描:

开始在“D:\TDDOWNLOAD\game456.exe”中扫描
D:\TDDOWNLOAD\game456.exe
  [0] 存档类型: Inno Setup
  --> {app}\help.dll
   [检测]       是 TR/Crypt.PEPM.Gen 特洛伊木马

开始杀毒:
D:\TDDOWNLOAD\game456.exe
  [检测]       是 TR/Crypt.PEPM.Gen 特洛伊木马
  [注意]       文件已被移到隔离目录中，文件名为“56c3a039.qua”。

扫描结束时间: 2012年7月19日  21:38
已用时间: 00:03 分钟

扫描完毕。

   0 已扫描目录
1154 已扫描文件
   1 发现病毒和/或恶意程序
   0 文件被划定为可疑
   0 个文件已删除
   0 病毒和恶意程序已修复
   1 文件已移到隔离区
   0 文件已重命名
   0 无法扫描的文件
1153 不关心的文件
   9 存档已扫描
   0 警告
   1 说明

显示全部楼层 · 发表于 2012-7-20 00:01:58

不可错过发表于 2012-7-19 17:38
竟然没有压缩的，有没有搞错？想害死人啊？

我的毒霸两个全部都报毒。。

[病毒样本] 继续捆绑木马

本帖子中包含更多资源