样本

sam.to

原帖由 无尽藏海 于 2008-9-8 16:37 发表
恩，就是那俩
貌似问题不大，你删除掉

那3个exe一直在进程中,但卡巴沒有任何提示,真怪

不管怎样,ghost一下

无尽藏海

似乎是针对卡巴的免杀，这文件是有人发到学校论坛里，我正好抓到的
File svchost.exe received on 09.07.2008 07:48:40 (CET)
Current status: finished
Result: 25/36 (69.44%)
Compact Compact
Print results Print results
Antivirus         Version         Last Update         Result
AhnLab-V3         2008.9.6.0         2008.09.06         Win-Trojan/Delphi.197449
AntiVir         7.8.1.28         2008.09.05         TR/Agent.EXC
Authentium         5.1.0.4         2008.09.06         W32/Downloader.H.gen!Eldorado
Avast         4.8.1195.0         2008.09.06         Win32:Trojan-gen {Other}
AVG         8.0.0.161         2008.09.07         Downloader.Delf.BJG
BitDefender         7.2         2008.09.07         Backdoor.Generic.55994
CAT-QuickHeal         9.50         2008.09.06         (Suspicious) - DNAScan
ClamAV         0.93.1         2008.09.07         -
DrWeb         4.44.0.09170         2008.09.06         -
eSafe         7.0.17.0         2008.09.03         Suspicious File
eTrust-Vet         31.6.6072         2008.09.05         -
Ewido         4.0         2008.09.06         -
F-Prot         4.4.4.56         2008.09.06         W32/Downloader.H.gen!Eldorado
F-Secure         8.0.14332.0         2008.09.07         Suspicious:W32/Malware!Gemini
Fortinet         3.112.0.0         2008.09.07         W32/Ejik.A
GData         19         2008.09.07         Win32:Trojan-gen
Ikarus         T3.1.1.34.0         2008.09.07         Backdoor.Win32.Delf.aka
K7AntiVirus         7.10.443         2008.09.05         Trojan-Spy.Win32.CXQP
Kaspersky         7.0.0.125         2008.09.07         -
McAfee         5378         2008.09.05         Generic.dx
Microsoft         1.3903         2008.09.07         -
NOD32v2         3423         2008.09.06         -
Norman         5.80.02         2008.09.05         W32/Malware.CXQP
Panda         9.0.0.4         2008.09.06         Suspicious file
PCTools         4.4.2.0         2008.09.06         Packed/FSG
Prevx1         V2         2008.09.07         -
Rising         20.60.60.00         2008.09.07         AdWare.Win32.Agent.bvg
Sophos         4.33.0         2008.09.07         Mal/Emogen-N
Sunbelt         3.1.1610.1         2008.09.05         Trojan.5
Symantec         10         2008.09.07         Downloader
TheHacker         6.3.0.8.075         2008.09.06         -
TrendMicro         8.700.0.1004         2008.09.05         PAK_Generic.002
VBA32         3.12.8.5         2008.09.06         -
ViRobot         2008.9.5.1365         2008.09.06         -
VirusBuster         4.5.11.0         2008.09.06         Packed/FSG
Webwasher-Gateway         6.6.2         2008.09.05         Trojan.Agent.EXC

又一次看到了卡巴和F-secure出现不同结果

sam.to

F-Secure的可能是啟發

无尽藏海

原帖由 htyhzd 于 2008-9-8 16:46 发表
又一次看到了卡巴和F-secure出现不同结果

FS的Gemini  引擎

sam.to

很奇怪,那个aaa跟svhost.exe有什么动作?

怎么我的卡巴的主防沒有提示这2个文件?

9楼的文件又是什么?

[ 本帖最后由 kato9096 于 2008-9-8 16:57 编辑 ]

无尽藏海

原帖由 kato9096 于 2008-9-8 16:51 发表
很奇怪,那个aaa跟svhost.exe有什么动作?

怎么我的卡巴的主防沒有提示这2个文件?

aaa是svhost.exe生成的，是没动静
svhost.exe联网下载安装ZCOM
那个BAT应该就是真正的软件本身

[ 本帖最后由 无尽藏海 于 2008-9-8 16:59 编辑 ]

sam.to

難怪卡巴在一至2分鈡后才有提示
那9楼的会有什么威脅??

我正考慮是否需要ghost[:26:]

wmcxdb

一步结束进程。

原帖由 kato9096 于 2008-9-8 16:49 发表
F-Secure的可能是啟發

不会是启发，fs几乎没有启发
如果是2009版本，那应该是hydro引擎