小红伞报的木马

显示全部楼层 · 发表于 2008-9-30 16:35:22

第二个文件我上报了两次，两个不同的工程师回复都是
No malicious software was found in the attached file.

显示全部楼层 · 发表于 2008-9-30 16:36:24

那可能是傘誤报

显示全部楼层 · 发表于 2008-9-30 16:41:55

卡巴7.0运行后的~~~

进程试图在系统注册表中修改隶属于组 System Startup 的值。这些键值列表被用来管理 Windows 在启动时的自动执行模块。

建议您对这些键值设置进行仔细确认，从而确保只有经过您允许的程序才能在计算机启动时被自动执行，如果无法确认，建议您拒绝对这些设置进行修改。

键: HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce

值: wextract_cleanup0

历史数据(以00结尾的 Unicode 字符串):
rundll32.exe E:\WINDOWS.0\system32\advpack.dll,DelNodeRunDLL32 "E:\DOCUME~1\ADMINI~1.CHI\LOCALS~1\Temp\IXP000.TMP\"

新建数据():

显示全部楼层 · 发表于 2008-9-30 16:45:35

2008-9-30 16:38:44 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 3848): 试图修改系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:)被允许。
2008-9-30 16:38:08 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 3848): 可疑操作，试图修改系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:)。
2008-9-30 16:38:06 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 3848): 试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:rundll32.exe E:\WINDOWS.0\system32\advpack.dll,DelNodeRunDLL32 "E:\DOCUME~1\ADMINI~1.CHI\LOCALS~1\Temp\IXP000.TMP\")被允许。
2008-9-30 16:37:45 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 3848): 可疑操作，试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:rundll32.exe E:\WINDOWS.0\system32\advpack.dll,DelNodeRunDLL32 "E:\DOCUME~1\ADMINI~1.CHI\LOCALS~1\Temp\IXP000.TMP\")。
2008-9-30 16:37:44 进程 E:\Program Files\Sandboxie\Start.exe (PID: 3932): 试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\windows nt\currentversion\winlogon  值:Shell  数据:x)被阻止。
2008-9-30 16:37:44 进程 E:\Program Files\Sandboxie\Start.exe (PID: 3932): 可疑操作，试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\windows nt\currentversion\winlogon  值:Shell  数据:x)。
2008-9-30 16:37:44 进程 E:\Program Files\Sandboxie\Start.exe (PID: 3932): 试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\windows nt\currentversion\winlogon  值:Shell  数据:x)被阻止。
2008-9-30 16:37:44 进程 E:\Program Files\Sandboxie\Start.exe (PID: 3932): 可疑操作，试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\windows nt\currentversion\winlogon  值:Shell  数据:x)。
2008-9-30 16:37:21 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 2164): 试图修改系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:)被允许。
2008-9-30 16:37:08 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 2164): 可疑操作，试图修改系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:)。
2008-9-30 16:37:06 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 2164): 试图创建系统启动时的自动执行模块列表 (键:HKEY_USERS\SANDBOX_ADMINISTRATOR_DEFAULTBOX\machine\software\microsoft\Windows\CurrentVersion\RunOnce  值:wextract_cleanup0  数据:rundll32.exe E:\WINDOWS.0\system32\advpack.dll,DelNodeRunDLL32 "E:\DOCUME~1\ADMINI~1.CHI\LOCALS~1\Temp\IXP000.TMP\")被允许。
2008-9-30 16:37:00 进程 E:\Documents and Settings\Administrator.CHINA-C2373752D\桌面\License.EXE (PID: 2164): 可疑操作，试图创建系统启动时的自动执行模块列表

显示全部楼层 · 发表于 2008-9-30 16:48:15

第二个是EWIDO的注册文件，没有威胁代码

显示全部楼层 · 发表于 2008-9-30 20:20:36

McAfee MISS

显示全部楼层 · 发表于 2008-9-30 21:26:29

上报费尔

显示全部楼层 · 发表于 2008-9-30 21:33:49

File ID    Filename    Size (Byte) Result
25148508    License.rar 27.73 KB OK
A listing of files contained inside archives alongside their results can be found below:

File ID    Filename    Size (Byte) Result
25148509    License.EXE    61 KB    UNDER ANALYSIS

显示全部楼层 · 发表于 2008-9-30 22:15:48

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://bbs.kafan.cn/attachment.p ... 17&t=1222784116
Information: Is the TR/Agent.62464.J Trojan

--------------------------------------------------------------------------------
Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.35, VDF 7.0.6.228

显示全部楼层 · 发表于 2008-9-30 22:16:14

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: http://bbs.kafan.cn/attachment.p ... 7a&t=1222784116
Information: Contains recognition pattern of the SPR/KeyLogger.S.2 program

--------------------------------------------------------------------------------
Generated by AntiVir WebGuard 8.0.15.0, AVE 8.1.1.35, VDF 7.0.6.228

[病毒样本] 小红伞报的木马

回复 9楼 kato9096 的帖子

回复 11楼 syfwxmh 的帖子

回复 12楼 kato9096 的帖子