学校机房抓的autorun病毒，过nod和mcafee(md5: 22c76a)

显示全部楼层 · 发表于 2007-10-15 14:31:34

Start of the scan: 2007年10月15日  14:31

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\桌面\Down(4).rar'
C:\Documents and Settings\Administrator\桌面\Down(4).rar
  [0] Archive type: RAR
  --> Down(4).exe
   [DETECTION] Is the Trojan horse TR/Qhost.LY.26
   [INFO]    A backup was created as '478a09ac.qua'  ( QUARANTINE )
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2007-10-15 14:34:11

按理是AVAST临时文件检测，病毒就不会运行，但是为什么微点会检测出来？
大家看微点的路径

显示全部楼层 · 发表于 2007-10-15 15:37:22

只是过了8.5的毒库，不过规则啊！！

2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe E:\autorun.inf 防病毒标准保护:禁止远程创建自动运行文件已阻止的操作: 创建
2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe F:\Down(4).exe 防病毒标准保护:禁止远程创建/修改可执行文件和配置文件已阻止的操作: 写入
2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe F:\autorun.inf 防病毒标准保护:禁止远程创建自动运行文件已阻止的操作: 创建
2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe G:\Down(4).exe 防病毒标准保护:禁止远程创建/修改可执行文件和配置文件已阻止的操作: 写入
2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe G:\autorun.inf 防病毒标准保护:禁止远程创建自动运行文件已阻止的操作: 创建
2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe H:\Down(4).exe 防病毒标准保护:禁止远程创建/修改可执行文件和配置文件已阻止的操作: 写入
2007-10-15 15:34:33 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe H:\autorun.inf 防病毒标准保护:禁止远程创建自动运行文件已阻止的操作: 创建
2007-10-15 15:34:35 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rising 通用最大保护:禁止将程序注册为自动运行已阻止的操作: 创建
2007-10-15 15:34:35 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 用户定义的规则:RD－显隐文件功能保护已阻止的操作: 创建
2007-10-15 15:34:35 已由访问保护规则禁止 MAC\Administrator C:\Documents and Settings\Administrator\桌面\Down(4)\Down(4).exe C:\Down(4).exe 防病毒标准保护:禁止远程创建/修改可执行文件和配置文件已阻止的操作: 写入

显示全部楼层 · 发表于 2007-10-15 15:57:44

发现危险软件
RiskTool.Win32.HideProc.c (riskware)
F:\du\Down(4).rar\Down(4).exe

显示全部楼层 · 发表于 2007-10-15 17:01:41

特征就是autorun啦！

显示全部楼层 · 发表于 2007-10-15 17:46:41

江民報　　kv2008

显示全部楼层 · 发表于 2007-10-15 17:47:34

看來autorun類弄的病毒很難逃過江民啊。

显示全部楼层 · 发表于 2007-10-15 17:52:23

nod miss

显示全部楼层 · 发表于 2007-10-15 21:11:44

Uhthn Anti-Spyware V3 Alpha
Version - 3.0.0
Standard Database - 550
Paranoia Database - 10482
Heuristics Analysis - Excessive
Scan in - C:\Documents and Settings\uhthn\Desktop\New Folder

C:\Documents and Settings\uhthn\Desktop\New Folder\Down(4).exe - Infected MalwareDetector:Virus.autorun.7
C:\Documents and Settings\uhthn\Desktop\New Folder\autorun.inf - OK

2 Files scanned
1 Infected files found
0 Suspected files found
0 Files cured
1 Files deleted

显示全部楼层 · 发表于 2007-10-15 22:29:56

不让下载

[病毒样本] 学校机房抓的autorun病毒，过nod和mcafee(md5: 22c76a)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块