系统时间被更改！但使用卡巴瑞星等软件扫不到任何病毒

jehovah

http://bbs.topsage.com/index.asp 此论坛被篡改一旦进入，系统时间被修改为2000年！多种软件失效！修正时间后进入安全模式进行杀毒，但卡巴、瑞星、安全卫士、360顽固木马专杀大全等软件扫不到任何病毒！卡巴、瑞星、安全卫士等都是最新的病毒库


小a的拦截器拦截了可执行文件OK.EXE，但我不知道这算不算是发现了病毒，希望能给与答案，让我充实下知识~

sam.to

打包ok.exe上來吧

jehovah

暂时没有，我现在去做下勇士 k下来！
·
·
·
·
·
·
·
·
几经辛苦 找到了

[ 本帖最后由 jehovah 于 2008-6-1 01:02 编辑 ]

scottxzt

Begin scan in 'C:\Documents and Settings\Administrator\桌面\ok.rar'
C:\Documents and Settings\Administrator\桌面\ok.rar
  [0] Archive type: RAR
    --> ok.exe
          [DETECTION] Is the Trojan horse TR/Spy.Gen
      [NOTE]      The file was successfully wiped!
      [NOTE]      The file was deleted!

palfan

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.5.30.1	2008.05.30	-
AntiVir	7.8.0.25	2008.05.30	TR/Spy.Gen
Authentium	5.1.0.4	2008.05.31	W32/Heuristic-KPP!Eldorado
Avast	4.8.1195.0	2008.05.31	-
AVG	7.5.0.516	2008.05.31	SHeur.BNFL
BitDefender	7.2	2008.05.31	-
CAT-QuickHeal	9.50	2008.05.31	-
ClamAV	0.92.1	2008.05.31	-
DrWeb	4.44.0.09170	2008.05.31	-
eSafe	7.0.15.0	2008.05.29	suspicious Trojan/Worm
eTrust-Vet	31.4.5837	2008.05.30	-
Ewido	4.0	2008.05.31	-
F-Prot	4.4.4.56	2008.05.31	W32/Heuristic-KPP!Eldorado
F-Secure	6.70.13260.0	2008.05.31	-
Fortinet	3.14.0.0	2008.05.31	-
GData	2.0.7306.1023	2008.05.31	-
Ikarus	T3.1.1.26.0	2008.05.31	Trojan-Downloader.Win32.Agent.anh
Kaspersky	7.0.0.125	2008.05.31	-
McAfee	5307	2008.05.30	-
Microsoft	1.3520	2008.05.31	-
NOD32v2	3149	2008.05.31	-
Norman	5.80.02	2008.05.30	-
Panda	9.0.0.4	2008.05.31	Suspicious file
Prevx1	V2	2008.05.31	-
Rising	20.46.52.00	2008.05.31	-
Sophos	4.29.0	2008.05.31	Mal/Heuri-D
Sunbelt	3.0.1139.1	2008.05.29	-
Symantec	10	2008.05.31	-
VBA32	3.12.6.6	2008.05.31	-
VirusBuster	4.3.26:9	2008.05.31	-
Webwasher-Gateway	6.6.2	2008.05.30	Trojan.Spy.Gen

zwl2828

ok.exe_ - Trojan-Downloader.Win32.Agent.rlz

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

[ 本帖最后由 zwl2828 于 2008-6-1 06:34 编辑 ]

a256886572008

2008-06-01 07:06:41    修改系統時間      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
更改後系統時間:2000-5-31 23:6
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*


2008-06-01 07:06:41    創建文件      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
文件路徑:C:\1d8b9ae46331fef4.dat
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*->*


2008-06-01 07:06:41    創建文件      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
文件路徑:C:\EQSandBox\C\1d8b9ae46331fef4.dat
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*->*


2008-06-01 07:06:41    訪問服務管理器      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe

觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*


2008-06-01 07:06:45    刪除文件      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
文件路徑:C:\EQSandBox\C\1d8b9ae46331fef4.dat
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*->*

2008-06-01 07:06:45    運行應用程序      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
文件路徑:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*


2008-06-01 07:06:45    修改其它進程內存      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*

2008-06-01 07:06:51    創建遠程線程      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
目標進程:C:\Program Files\Internet Explorer\iexplore.exe
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*

2008-06-01 07:06:51    創建文件      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
文件路徑:D:\桌面\virus\ok\delme.bat
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*->*


2008-06-01 07:06:51    創建文件      操作:使用任務隔離區操作
進程路徑:D:\桌面\virus\ok\ok.exe
文件路徑:C:\EQSandBox\D\桌面\virus\ok\delme.bat
觸發規則:應用程序規則->任务隔离区->D:\桌面\virus\*->*

有天我会飞

我以前也中过这种病毒，系统时间修改了，卡巴斯基就不停的提示注册码过期。最后我安装了微点，立刻发现了更改系统时间的病毒。后来我用过一段时间的微点加卡巴，倒是非常的安全，现在怕麻烦，就只用卡巴了，只要人品好，很难中病毒，哈哈哈。

ii88

费尔无反应

zwl2828

原帖由 有天我会飞 于 2008-6-1 08:29 发表
我以前也中过这种病毒，系统时间修改了，卡巴斯基就不停的提示注册码过期。最后我安装了微点，立刻发现了更改系统时间的病毒。后来我用过一段时间的微点加卡巴，倒是非常的安全，现在怕麻烦，就只用卡巴了，只要人品 ...

推荐使用卡巴斯基7.0的MP1版本，可以防止时间被改而失去保护！