来一个卡巴不认识的

tgzw1680

q播捆绑的东东

红心王子

2009-2-27        22:08:53        1235743733        Administrator        716        Sign of "Win32:Rootkit-gen [Rtk]" has been found in "d:\我的文档\桌面\ccw120.rar\ccw120.exe\[UPX]\[Embedded_Ia#01690]\[Embedded_Ia#a290]" file.

hddu

应该是病毒吧？

2009-02-27 22:17:57    运行应用程序      操作:阻止
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls C:\WINDOWS\system32 /e /p everyone:f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-02-27 22:17:57    运行应用程序      操作:阻止
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\" /e /p everyone:f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-02-27 22:17:57    运行应用程序      操作:阻止
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config ekrn start= disabled
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-02-27 22:17:57    运行应用程序      操作:阻止
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ekrn.exe /f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-02-27 22:17:57    运行应用程序      操作:阻止
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im egui.exe /f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-02-27 22:17:57    运行应用程序      操作:阻止
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ScanFrm.exe /f
触发规则:所有程序规则->系统程序_黑名单->*\cmd.exe
2009-02-27 22:18:02    创建文件      操作:阻止并结束进程
进程路径:E:\ccw120\ccw120.exe
文件路径:C:\WINDOWS\system32\killkb.dll
触发规则:所有程序规则->WINDOWS_2->%windir%\system*\*.dll

Elcondorposa

AVIRA
Virus or unwanted program 'TR/Crypt.XDR.Gen [trojan]'
detected in file 'C:\Sandbox\User\IE7\user\current\Local Settings\Temporary Internet Files\Content.IE5\13E5QD9G\ccw120[1].rar.
Action performed: Delete file

The EQs

Ultra String Reference
Address    Disassembly                               Text String
0040118C   push    ebp                               (initial cpu selection)
00401196   mov     esi, 00403688                     fuck_trojan
00401215   push    00403664                          cmd /c cacls %s /e /p everyone:f
00401246   push    00403640                          cmd /c cacls "%s" /e /p everyone:f
00401277   push    00403618                          cmd /c sc config ekrn start= disabled
004012A8   push    004035F8                          cmd /c taskkill /im ekrn.exe /fcmd /c sc config ekrn start= disabled
004012D9   push    004035D8                          cmd /c taskkill /im egui.exe /fcmd /c taskkill /im ekrn.exe /fcmd /c sc config ekrn start= disabled
0040130A   push    004035B4                          cmd /c taskkill /im scanfrm.exe /f
0040133F   push    0040359C                          \system32\killkb.dll
0040135B   push    00403598                          bin\system32\killkb.dll
00401377   push    00403580                          rundll32.exe %s, droqp
004013B3   push    00403558                          cmd /c sc config avp start= disabled
004013E4   push    00403538                          cmd /c taskkill /im avp.exe /f
0040141B   push    0040352C                          update.dll
00401459   push    00403598                          bin\system32\killkb.dll
0040148E   mov     esi, 00403528                     _
004014A0   push    0040326C                          o12askslyzo7k5orc5tkoxoaxsd1wc62mtxnl5s5zjk2yligpnusnqaa
004014C4   push    00403210                          o12askslyzo7k5orc5tkoxoaxsd1wc62mtxnl5s5zjk2yligrkqmoqaa
00401504   push    00403000                          scan



和以前的一样

Palkia

to rs

ledled

VirusBuster found nothing

尤金卡巴斯基

To KL

尤金卡巴斯基

Hello,

ccw120.exe_ - Trojan-Dropper.Win32.Agent.aicc

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Sincerely yours,
Mikhail Gorshenin,
Virus Analyst.
_____________________
Kaspersky Lab Ltd
Moscow, Russia

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

zdlzp

木马名称：Rootkit.Win32.Agent.chh

程序：
C:\WINDOWS\SYSTEM32\DRIVERS\PCIDUMP.SYS
是木马程序!
已成功阻止其运行,是否要删除此文件?
程序：
C:\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\TEMP\RAR$EX00.895\CCW120.EXE
被修改文件：
D:\PROGRAM FILES\360\360HOTFIX.EXE
是否阻止文件被修改?

程序：
C:\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\TEMP\RAR$EX00.895\CCW120.EXE
蠕虫程序生成以下文件：
1) C:\WINDOWS\SYSTEM32\KILLKB.DLL
2) C:\WINDOWS\SYSTEM32\DRIVERS\OLD4.TMP
3) C:\WINDOWSUPDATE.DLL
是否删除蠕虫程序及其衍生物?