伪装成卡巴图标的一个

显示全部楼层 · 发表于 2008-1-9 17:27:08

C:\WINDOWS\system32下发现的，卡巴报

显示全部楼层 · 发表于 2008-1-9 17:28:49

2008-1-9 17:28:34 Real-time file system protection file R:\Temp\7zE5D9.tmp\101664.exe probably a variant of Win32/TrojanDownloader.QQHelper.NCO trojan deleted - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: D:\Program Files\7-Zip\7zFM.exe.

显示全部楼层 · 发表于 2008-1-9 17:34:38

Begin scan in 'D:\Downloads\样本\101664'
D:\Downloads\样本\101664\101664.exe
[DETECTION] Contains suspicious code HEUR/Malware

已上报

显示全部楼层 · 发表于 2008-1-9 19:23:35

2008-1-9 19:26:20 101664.exe C:\Documents and Settings\zh\桌面\新建文件夹 10
data001 Trojan.DownLoader.26006
data002 Adware.Cdn.447
data003 3
data002 Adware.Baidu

显示全部楼层 · 发表于 2008-1-9 19:44:25

扫描所选择的目录和文件...
对象: data0003
在压缩档案里: D:\1\101664[1]\101664.exe
狀態: 已发现病毒
病毒: not-a-virus:Monitor.Win32.PCRecord.f (KAV 引擎)
对象: 101664.exe
路径: D:\1\101664[1]
狀態: 已发现病毒
病毒: not-a-virus:Monitor.Win32.PCRecord.f (KAV 引擎)
扫描完成: 1/9/2008 19:42
已检查 1 个文件
已发现 1 个染毒文件

显示全部楼层 · 发表于 2008-1-9 19:46:38

D:\1\101664[1]\101664.exe\data002 - infected with Trojan.DownLoader.26006
D:\1\101664[1]\101664.exe\data003 - is an AdWare program Adware.Cdn.447
D:\1\101664[1]\101664.exe\data004\data005 - is an AdWare program Adware.Baidu

Archive contains 3 infected items

显示全部楼层 · 发表于 2008-1-9 19:47:24

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a5ea1cfa-a3a9-11dc-b12c-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a5ea1cfd-a3a9-11dc-b12c-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a5ea1cfc-a3a9-11dc-b12c-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a5ea1cfb-a3a9-11dc-b12c-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c2b24a7e-ba83-11dc-b138-00e04c4db33a}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a5ea1cfe-a3a9-11dc-b12c-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a5ea1cff-a3a9-11dc-b12c-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\1\*

2008-01-09 19:45:13 修改注册表内容    操作:阻止
进程路径:D:\1\101664[1]\101664.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:AppData
注册表数据:C:\Documents and Settings\Administrator\Application Data
触发规则:应用程序规则->自动创建规则->D:\1\

显示全部楼层 · 发表于 2008-1-9 20:01:44

已刪除: 病毒 Heur.Downloader (修改) 檔案: C:\Documents and Settings\kato9096\桌面\101664\101664.exe//data0002

上报

显示全部楼层 · 发表于 2008-1-9 21:01:31

金山2008没有报,已经上报金山..

显示全部楼层 · 发表于 2008-1-9 21:05:04

江民无视，上报～

[病毒样本] 伪装成卡巴图标的一个

本帖子中包含更多资源

运行后蜘蛛报

浏览过的版块