感染exe+隐藏+rk+流氓 有主防的来测试D9F948

mofunzone

Starting the file scan:

Begin scan in 'C:\Users\morgan\Documents\1.rar'
C:\Users\morgan\Documents\
  1.rar
  1.rar:Zone.Identifier
    [0] Archive type: RAR
    --> 1.exe
        [DETECTION] Contains detection pattern of the Windows virus W32/Almanahe.B
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!

lsyer

..........................................

marksu2006

失望+绝望


2007-10-14 13:23:35    创建文件      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.468\1.exe
文件路径:C:\WINDOWS\linkinfo.dll
触发规则:所有程序规则->全局设置_可执行文件1_普通模式->%SystemDrive%\*.dll


2007-10-14 13:24:06    文件保护已经关闭.


2007-10-14 13:25:28    加载驱动程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.390\1.exe
驱动名称:IsDrv118.sys
触发规则:所有程序规则->*


2007-10-14 13:25:28    修改其它进程内存      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.390\1.exe
目标进程:C:\WINDOWS\Explorer.EXE
触发规则:所有程序规则->系统程序_白名单->%windir%\explorer.exe

[ 本帖最后由 marksu2006 于 2007-10-14 13:36 编辑 ]

goodchipmka

VirSCAN.org Scanned Report :
Scanned time   : 2007/10/14 13:34:37 (CST)
Scanner results: 65%的杀软(22/34)报告发现病毒
File Name      : 1.rar
File Size      : 44023 byte
File Type      : RAR archive data, v1d, os
MD5            : c3e02499fa6e1589e38e782356d69fca
SHA1           : a57cf96888df844ca6f915d6160fa754bc494227
Online report  : http://virscan.org/report.php?id=c3e02499fa6e1589e38e782356d69fca

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.123       2007.10.13        2007-10-13  5.09   -
AntiVir        7.6.0.23        7.0.0.84          2007-10-13  1.98   W32/Almanahe.B
Arcavir        1.0.4           200710131733      2007-10-13  1.30   -
AVAST          1.0.8           000781-1          2007-10-14  3.05   Win32:Alman-E
AVG            7.5.49.442      269.14.9/1069     2007-10-13  1.64   -
BitDefender    7.60825.899934  7.15288           2007-10-14  3.71   Dropped:Win32.Almanahe.B
CA (VET)       8.4.0.24        31.2.5207         2007-10-13  0.99   Win32/Almanahe.F virus.
ClamAV         0.91.2          4540              2007-10-14  0.02   W32.Alman-4
Comodo         2.11            2.0.0.312         2007-10-13  2.56   -
Dr.WEB         4.33            2007.10.13        2007-10-13  5.24   Win32.Alman
ewido          4.0.0.2         2007.10.13        2007-10-13  2.28   -
F-PROT         4.4.0.50        20071013          2007-10-13  1.69   W32/Alman.C
F-SECURE       5.51.6100       2007.10.13.01     2007-10-13  0.14   Virus.Win32.Alman.b
飞塔           2.81-3.11       8.229             2007-10-13  0.89   W32/Alman.B
ViRobot        20071012        2007.10.12        2007-10-12  1.05   -
IKARUS         T3.1.1.12       2007.10.13.69659  2007-10-13  3.50   Virus.Win32.Alman.b
江民杀毒       10.00.650       2007.10.14        2007-10-14  1.14   Win32/.Almana.c
卡巴斯基       5.5.10          2007.10.14        2007-10-14  5.36   Virus.Win32.Alman.b
金山毒霸       2007.6.20.249   2007.10.13        2007-10-13  1.21   Worm.DLan.c.79872
迈克菲         5.2.00          5140              2007-10-12  1.21   -
MKS_VIR        2.01            2007.10.14        2007-10-14  3.04   -
NOD32          2.70.10         2591              2007-10-14  0.71   Win32/Alman.NAB virus
NORMAN         5.91.08         5.90              2007-10-12  6.17   Sandbox: W32/Alman.B.dropper
熊猫卫士       9.04.03.0001    2007.10.12        2007-10-12  6.23   W32/Almanahe.C      
趋势           8.500-1001      4.771.00          2007-10-11  0.04   PE_CORELINK.C-1
Prevx          V2              20071014          2007-10-14  8.55   -
QuickHeal      9.00            2007.10.13        2007-10-13  2.63   -
瑞星           19.0            19.44.61.00       2007-10-14  5.85   Worm.Magistr.g
SOPHOS         2.49.1          4.21              2007-10-14  3.23   W32/Alman-C
赛门铁克       1.3.0.24        20071013.066      2007-10-13  1.01   -
nProtect       2007-10-13.00   973301            2007-10-13  16.48  Dropped:Win32.Almanahe.B
The Hacker     6.2.8           v00089            2007-10-13  0.77   -
VBA32          3.12.2.4        20071013.1453     2007-10-13  0.93   Trojan-Downloader.Win32.Agent.bsi
VirusBuster    4.3.19:9        9.109.2/11.0      2007-10-11  3.61   Win32.Alman.B

wwtd

Symantec Endpoint Protection 11

IllusionWing

UGuard Log (Digital Fox - gankeyu@126.com, cby) - AutoProtect Log
保护模块版本: 1.5.1
* 反Rootkit : 启动
* 反广告 : 启动
* 注册表监视 : 启动
* 行为分析 : 启动
* 关联分析 : 启动

1.exe 试图在关键位置创建文件。 (E:\Windows\linkinfo.dll) - 允许
1.exe 试图在关键位置创建文件。 (E:\Windows\system32\drivers\IsDrv118.sys) - 允许
1.exe 试图动态加载驱动。 (E:\Windows\system32\drivers\IsDrv118.sys) - 允许
1.exe 试图在关键位置删除文件。 (E:\Windows\system32\drivers\IsDrv118.sys) - 允许
信息：1.exe 创建一个驱动后又删除了该驱动，这是恶意程序的典型行为。
1.exe 试图注入其他程序。 (explorer.exe) - 允许
1.exe 试图创建服务。 (nvmini) - 允许
1.exe 试图动态加载驱动。 (E:\Windows\system32\drivers\nvmini.sys) - 允许
explorer.exe 试图注入其他程序。 (iexplore.exe) - 允许
iexplore.exe 试图在关键位置创建文件。 (E:\Windows\AppPatch\AcLue.dll.new) - 允许
警报! 在 iexplore.exe (Hacked) 中发现恶意代码。 (Generic.Modify)
警报! 在 explorer.exe (Hacked) 中发现恶意代码。 (Generic.DLLInject)
警报! 在 内核 (nvmini.sys) 中发现恶意代码。 (Generic.EMF)
警报! 在 内核 (IsDrv118.sys) 中发现恶意代码。 (Generic.EMF)
警报! 在 1.exe 中发现恶意代码。 (Generic.EMF)
iexplore.exe 已被终止。
explorer.exe 已被终止。
nvmini.sys 无法被终止。
IsDrv118.sys 无法被终止。
SuperTerminator引擎已经启动。
IsDrv118.sys 不是一个进程，但其所用的内存已被强制卸载，请在病毒清理后重新启动计算机。
nvmini.sys 不是一个进程，但其所用的内存已被强制卸载，请在病毒清理后重新启动计算机。
关联分析已经启动。
E:\Windows\system32\drivers\IsDrv118.sys 被删除。
E:\Windows\system32\drivers\nvmini.sys 被删除。
E:\Windows\linkinfo.dll 被删除。
E:\Windows\explorer.exe 被忽略。
E:\Program Files\Internet Explorer\iexplorer.exe 被忽略。
E:\Windows\AppPatch\AcLue.dll.new 被删除。
E:\YANGBEN\1.exe 被删除。

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Worm.Magistr.g           
病毒： Worm.Magistr.g           

MAC地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：19.44.62/

shixinlong044

下不下来，被 杀软干了，咔吧，诺顿在运行中自动干掉

wangfeng66

DRWEB 4.44  Miss  

看来只能靠HIPS了

capsshift

红伞要报，现在又没装微点，测试不了。