这个是病毒否？

显示全部楼层 · 发表于 2008-10-30 15:15:48

DRWEB 没有误报。MISS

显示全部楼层 · 发表于 2008-10-30 16:19:11

Hello.

cc.EXE - Backdoor.Win32.VB.bpm

This file is already detected. Please update your antivirus bases.

[ 本帖最后由 328397663 于 2008-10-30 16:48 编辑 ]

显示全部楼层 · 发表于 2008-10-30 20:36:58

McAfee Generic.dx

显示全部楼层 · 发表于 2008-10-30 20:41:10

Hello,

cc.exe_ - Backdoor.Win32.VB.bpm

It isn't false alarm.

Please quote all when answering.

--
Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.

显示全部楼层 · 发表于 2008-10-30 21:09:23

[Scanning : C:\Test]

C:\Test\cc.rar<RAR>:cc.EXE<UPX>:cc.EXE <- Trojan.Vb.Bpm : No action

Scanned objects : 4

Infected objects : 1

显示全部楼层 · 发表于 2008-10-30 21:09:40

[发现后门：] <W32/Backdoor2.FMI (确切, not disinfectable)> C:\Test\cc.rar->cc.EXE

---------------------------------------------------------------------
扫描已结束: 2008-10-30, 21:09:13
用时: 0:00:00

扫描结果:

已扫描的文件:    6
已感染的对象:    1
已清除的对象:    0
已隔离的文件:    0
---------------------------------------------------------------------

显示全部楼层 · 发表于 2008-10-30 23:45:50

修改安全控件的位置指向自己创建的文件，可能是魔域盗号木马。
2008-10-30 23:29:21 创建文件    操作:允许
进程路径:F:\陷井\病毒\cc\cc.EXE
文件路径:D:\RG60Plus\Temp\~DF2AAB.tmp
触发规则:应用程序规则->-----低------>*\病毒\*

2008-10-30 23:29:31 创建文件    操作:允许
进程路径:F:\陷井\病毒\cc\cc.EXE
文件路径:C:\WINDOWS\system32\MSINET.OCX
触发规则:应用程序规则->-----低------>*\病毒\*

2008-10-30 23:29:42 修改注册表内容    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
注册表名称:[Default]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:46 删除注册表    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:48 删除注册表    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:50 修改注册表内容    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
注册表名称:[Default]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:52 删除注册表    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:54 删除注册表    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}
注册表名称:[Key]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:55 修改注册表内容    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}
注册表名称:[Default]
触发规则:应用程序规则->----低------>*\病毒\*

2008-10-30 23:29:56 修改注册表内容    操作:阻止
进程路径:F:\陷井\病毒\cc\cc.EXE
注册表路径:HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0
注册表名称:[Default]
触发规则:应用程序规则->----低------>*\病毒\*

显示全部楼层 · 发表于 2008-10-31 01:55:05

不知道他是哪个网游的木马了，不过坦白说，这个年代很少有单一的盗号木马。一盗就是一大堆网游都盗的，能下手的都不会放过。

[病毒样本] 这个是病毒否？

本帖子中包含更多资源

回复 1楼萨菲罗斯的帖子

ArcaVir2008

F-Prot 4.4.4

本帖子中包含更多资源

浏览过的版块

[病毒样本] 这个是病毒否？

本帖子中包含更多资源

回复 1楼 萨菲罗斯 的帖子

ArcaVir2008

F-Prot 4.4.4

本帖子中包含更多资源

浏览过的版块

回复 1楼萨菲罗斯的帖子