28日测试样本中的NB过所有智能主动防御包括卡巴！

显示全部楼层 · 发表于 2008-7-29 01:16:03

我说的是卡巴的自动模式，不是交互。同时过了微点，过了tf，过了费尔。。。。。。。。。。。。想不通这么会防不住。。。应该所有智能模式默认规则就应该是不允许其他程序调用kill或者net或者等等。。。。引起重视了。。。。。

显示全部楼层 · 发表于 2008-7-29 01:23:15

00002FC8 00403DC8    0 WSCript.shell
00002FE8 00403DE8    0 cmd /c net stop sharedaccess
00003030 00403E30    0 cmd /c net stop KAVStart
00003078 00403E78    0 go.cn/houtai/
00003098 00403E98    0 http://up.pw
000030D4 00403ED4    0 ad7731
000030E8 00403EE8    0 dodolook507
00003170 00403F70    0 go.cn/houtai/zhen6
0000319C 00403F9C    0 taskkill /f /im 360Safe.exe
000031D8 00403FD8    0 taskkill /f /im 360tray.exe
000032AD 004040AD    0 \QQmussi.exe
0000336D 0040416D    0 \Explorev.exe
0000338C 0040418C    0 C:\WINDOWS\IEXPLOER.EXE
000033C0 004041C0    0 C:\Program Files\Internet Explorer\ad7731.exe
00003420 00404220    0 C:\Program Files\Internet Explorer\Connection Wizard\IEXPLORER.EXE
000034AC 004042AC    0 C:\WINDOWS\IEXPLORER.EXE
000034E4 004042E4    0 C:\WINDOWS\Media\IEXPLORER.EXE
00003528 00404328    0 C:\WINDOWS\system32\Com\IEXPLORER.EXE
00003578 00404378    0 C:\WINDOWS\system32\Setup\IEXPLORER.EXE
000035CC 004043CC    0 del %0
000035F4 004043F4    0 C:\Program Files\Internet Explorer\IEXPLORER.EXE
0000365C 0040445C    0 C:\WINDOWS\Web\IEXPLORER.EXE
0000369C 0040449C    0 C:\WINDOWS\system\IEXPLORER.EXE
000036E0 004044E0    0 C:\WINDOWS\Fonts\IEXPLORER.EXE
0000372C 0040452C    0 kill.bat
00003744 00404544    0 :redel
00003788 00404588    0 if exist
000037A0 004045A0    0 goto redel

显示全部楼层 · 发表于 2008-7-29 01:31:21

Avira AntiVir Premium
Report file date: 2008年7月29日  01:30

Scanning for 1516028 virus strains and unwanted programs.

Platform:       Windows Vista

Version information:
BUILD.DAT    : 8.1.0.362    20011 Bytes 2008/7/11 12:37:00
AVSCAN.EXE : 8.1.4.7    315649 Bytes 2008/6/26 02:57:53
AVSCAN.DLL : 8.1.4.0       40705 Bytes 2008/5/26 01:56:40
LUKE.DLL    : 8.1.4.5    164097 Bytes 2008/6/12 06:44:19
LUKERES.DLL : 8.1.4.0       12033 Bytes 2008/5/26 01:58:52
ANTIVIR0.VDF  : 6.40.0.0 11030528 Bytes 2007/7/18 04:33:34
ANTIVIR1.VDF  : 7.0.5.1    8182784 Bytes 2008/6/24 07:54:15
ANTIVIR2.VDF  : 7.0.5.174 2027008 Bytes 2008/7/25 12:59:09
ANTIVIR3.VDF  : 7.0.5.181    87552 Bytes 2008/7/28 14:20:35
Engineversion : 8.1.1.12
AEVDF.DLL    : 8.1.0.5    102772 Bytes 2008/7/9 02:46:50
AESCRIPT.DLL  : 8.1.0.59    307579 Bytes 2008/7/28 13:01:45
AESCN.DLL    : 8.1.0.23    119156 Bytes 2008/7/28 13:01:28
AERDL.DLL    : 8.1.0.20    418165 Bytes 2008/7/9 02:46:50
AEPACK.DLL : 8.1.2.1    364917 Bytes 2008/7/28 13:01:20
AEOFFICE.DLL  : 8.1.0.21    192891 Bytes 2008/7/28 13:00:57
AEHEUR.DLL : 8.1.0.44    1343863 Bytes 2008/7/28 13:00:53
AEHELP.DLL : 8.1.0.15    115063 Bytes 2008/7/9 02:46:50
AEGEN.DLL    : 8.1.0.31    311669 Bytes 2008/7/28 12:59:59
AEEMU.DLL    : 8.1.0.6    430451 Bytes 2008/7/9 02:46:50
AECORE.DLL : 8.1.1.7    172406 Bytes 2008/7/28 12:59:42
AEBB.DLL    : 8.1.0.1       53617 Bytes 2008/4/24 02:50:42
AVWINLL.DLL : 1.0.0.12    15105 Bytes 2008/7/9 02:40:05
AVPREF.DLL : 8.0.2.0       38657 Bytes 2008/5/16 03:28:01
AVREP.DLL    : 8.0.0.2       98561 Bytes 2008/7/28 12:59:22
AVREG.DLL    : 8.0.0.1       33537 Bytes 2008/5/9 05:26:40
AVARKT.DLL : 1.0.0.23    307457 Bytes 2008/2/12 02:29:23
AVEVTLOG.DLL  : 8.0.0.16    119041 Bytes 2008/6/12 06:27:49
SQLITE3.DLL : 3.3.17.1    339968 Bytes 2008/1/22 11:28:02
SMTPLIB.DLL : 1.2.0.23    28929 Bytes 2008/6/12 06:49:40
NETNT.DLL    : 8.0.0.1       7937 Bytes 2008/1/25 06:05:10
RCIMAGE.DLL : 8.0.0.51    2564353 Bytes 2008/6/12 07:29:30
RCTEXT.DLL : 8.0.51.0    86273 Bytes 2008/6/27 05:00:56

Configuration settings for the scan:
Jobname..........................: ShlExt
Configuration file...............: C:\Users\ADMINI~1\AppData\Local\Temp\b79b4990.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: 2008年7月29日  01:30

Starting the file scan:

Begin scan in 'C:\Users\Administrator\Desktop\080728-A2-21.rar'
C:\Users\Administrator\Desktop\080728-A2-21.rar
[0] Archive type: RAR
   --> 080728-A2-21.exe
      [DETECTION] Contains HEUR/Crypted suspicious code
[NOTE]    The file was deleted!

End of the scan: 2008年7月29日  01:30
Used time: 00:10 Minute(s)

The scan has been done completely.

   0 Scanning directories
   2 Files were scanned
   0 viruses and/or unwanted programs were found
   1 Files were classified as suspicious:
   1 files were deleted
   0 files were repaired
   0 files were moved to quarantine
   0 files were renamed
   0 Files cannot be scanned
   1 Files not concerned
   1 Archives were scanned
   0 Warnings
   1 Notes

显示全部楼层 · 发表于 2008-7-29 06:08:40

TF也没那么好过。。。。。。

在添加到自启动时，TF报

允许后

继续允许。。。。。。

[ 本帖最后由 vanbasten111 于 2008-7-29 06:48 编辑 ]

显示全部楼层 · 发表于 2008-7-29 06:30:15

。。。。。。

[ 本帖最后由 vanbasten111 于 2008-7-29 07:01 编辑 ]

显示全部楼层 · 发表于 2008-7-29 07:15:59

很正常这个是下载者自身的恶意行为很少

显示全部楼层 · 发表于 2008-7-29 07:19:13

我已经把问题上报到卡巴~不过这个解决起来很麻烦

显示全部楼层 · 发表于 2008-7-29 08:03:18

4楼的有生成自启动项目？我这里没有，难道还挑机器。。。。相信如果有生成自启动，应该我说的智能主动防御都会报了。。。。。。。不理解，估计就你机器上生成了，不然测试微点，测试卡巴，包括我的费尔和tf都会报的。我是oemxpsp3，楼上是什么系统。。。我这里这个病毒就是做了类似av终结者的事情，然后就是联网。。。。没其他动作

[ 本帖最后由 tgzw1680 于 2008-7-29 01:05 编辑 ]

显示全部楼层 · 发表于 2008-7-29 08:54:07

原帖由 tgzw1680 于 2008-7-29 08:03 发表
4楼的有生成自启动项目？我这里没有，难道还挑机器。。。。相信如果有生成自启动，应该我说的智能主动防御都会报了。。。。。。。不理解，估计就你机器上生成了，不然测试微点，测试卡巴，包括我的费尔和tf都会报的。 ...

你的意思4楼涉嫌作弊

理解的对吗？

如果真是。。。。

显示全部楼层 · 发表于 2008-7-29 08:58:48

每个人的配置都不一样~~卡巴09的交互会报~而自动模式不报就是这个原因

[病毒样本] 28日测试样本中的NB过所有智能主动防御包括卡巴！

回复 8楼 tgzw1680 的帖子