电脑中的东西感觉有点奇怪

显示全部楼层 · 发表于 2008-8-10 23:22:29

【1】运行错误，sandbox跑不起来。

【2】

地址                   反汇编                                     文本字串
004011C6 PUSH EBP                               (初始 cpu 选择)
004011D2 PUSH downer.004010D0                   x_mutex_downer
00401228 PUSH downer.004010A4                   wmoptimizer.dll
00401234 PUSH downer.004010C4                   %s%s
004012A4 PUSH downer.00401174                   "%s",runsetup install
004012C3 PUSH downer.004011A0                   rundll32.exe
004012C8 PUSH downer.004011BC                   open
004012F8 PUSH downer.004010F0                   msvcrt.dll
00401310 PUSH downer.00401108                   _snwprintf
00401318 PUSH downer.00401114                   _wcsicmp
00401325 PUSH downer.00401120                   urlmon.dll
00401335 PUSH downer.00401138                   urldownloadtofilew
0040133D PUSH downer.0040114C                   shell32.dll
0040134D PUSH downer.00401164                   shellexecutew

显示全部楼层 · 发表于 2008-8-10 23:45:43

危险进程(PID:3276): C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.547\downer.exe

产品名称: 无
文件版本: 无
公司名称: 无
文件描述: 无
数字签名: 没有发现签名

危险级别: 中
级别评分: 40.c408880
状态: 进程已被结束，但还没有清除，等待进一步处理。

在线扫描发现它不是有害程序，但这并不能肯定此文件是百分之百安全的。你可以信任它，但如果你认为它是不可信的也可以删除它。

显示全部楼层 · 发表于 2008-8-10 23:49:20

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.8.9.0	2008.08.08	-
AntiVir	7.8.1.19	2008.08.09	-
Authentium	5.1.0.4	2008.08.10	-
Avast	4.8.1195.0	2008.08.09	-
AVG	8.0.0.156	2008.08.09	-
BitDefender	7.2	2008.08.10	Generic.Malware.dld!!.A3790B49
CAT-QuickHeal	9.50	2008.08.08	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.08.10	-
DrWeb	4.44.0.09170	2008.08.10	DLOADER.Trojan
eSafe	7.0.17.0	2008.08.10	-
eTrust-Vet	31.6.6019	2008.08.08	-
Ewido	4.0	2008.08.10	-
F-Prot	4.4.4.56	2008.08.10	-
F-Secure	7.60.13501.0	2008.08.10	-
Fortinet	3.14.0.0	2008.08.10	-
GData	2.0.7306.1023	2008.08.10	-
Ikarus	T3.1.1.34.0	2008.08.10	-
K7AntiVirus	7.10.408	2008.08.09	-
Kaspersky	7.0.0.125	2008.08.10	-
McAfee	5357	2008.08.08	-
Microsoft	1.3807	2008.08.10	TrojanDownloader:Win32/Optim.gen!A
NOD32v2	3343	2008.08.10	-
Norman	5.80.02	2008.08.08	-
Panda	9.0.0.4	2008.08.10	Suspicious file
PCTools	4.4.2.0	2008.08.10	-
Prevx1	V2	2008.08.10	-
Rising	20.56.41.00	2008.08.08	-
Sophos	4.32.0	2008.08.10	-
Sunbelt	3.1.1538.1	2008.08.09	-
Symantec	10	2008.08.10	-
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.08	-
VBA32	3.12.8.3	2008.08.09	-
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.10	-
Webwasher-Gateway	6.6.2	2008.08.10	-

附加信息
File size: 1248 bytes
MD5...: e61951db43c303874ad1cbe7dcb17aa4
SHA1..: a58187dbc1c56991ecdf759e78739e372e298f0e
SHA256: db438636ba58596add48fc494336e46360be3d18302cba162afd710cab9ba913
SHA512:02adb256e2fb0aedeac0de77910ed9edf0ee9d075a78eaa01460762fa0dd5cd9<br>b863daa7755f36fd6d50d0c883af13516368f20b07fe00b86344392ba7a20968
PEiD..: -
PEInfo: -

红伞miss.
上报

显示全部楼层 · 发表于 2008-8-11 01:13:15

8.0.0.454 MISS

显示全部楼层 · 发表于 2008-8-11 10:47:12

http://chajian4.liruna.com/f/Resident.bin -> %UserProfile%\Local settings\Temp\wmoptimizer.dll

显示全部楼层 · 发表于 2008-8-11 10:48:55

2008-8-11 10:46:37 http://bbs.kafan.cn/attachment.p ... 8422904//downer.exe Detected: Trojan-Downloader.Win32.NanoDesu.bm

显示全部楼层 · 发表于 2008-8-11 11:00:17

是毒！！！
见图

显示全部楼层 · 发表于 2008-8-11 11:18:18

瑞星最新版，不认识。

显示全部楼层 · 发表于 2008-8-11 12:15:23

运行后KIS 2009 交换模式主动防御拦截！

[病毒样本] 电脑中的东西感觉有点奇怪