system32 下的可疑dll

run_33

www.virustotal.com    报  46.1%  (18/39)
virscan.org                         41%  (15/37)

ledled

VirusBuster found nothing

Kitman

Requested URL:        http://bbs.kafan.cn/attachment.p ... 4c&t=1235791639
Information:        Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program
Generated by AntiVir WebGuard 8.0.15.0, AVE 8.2.0.98, VDF 7.1.2.94

run_33

用大蜘蛛扫出来的
卡巴没报
改了名字重启 没自动出现
google上也搜不到什么

darreol

病毒啊

leonfg

原帖由 darreol 于 2009-2-28 12:18 发表


病毒啊

IK报的怎能直接信...

eset
C:\Documents and Settings\GUNDAM\桌面\wcertmgr.rar » RAR » wcertmgr.dll - probably a variant of Win32/Agent trojan

darreol

a-squared Anti-Malware - 版本 4.0
上次更新: 2009-2-28 12:03:19
扫描设置:
对象: C:\Downloads\wcertmgr.rar
扫描文件: 开
启发式扫描: 关
ADS 扫描: 开
扫描开始于: 2009-2-28 12:42:17
C:\Downloads\wcertmgr.rar/wcertmgr.dll  已检测: Trojan.ATRAPS!IK
已扫描
文件:  1
跟踪记录:  0
Cookies:  0
进程:  0
已发现
文件:  1
跟踪记录:  0
Cookies:  0
进程:  0
注册表键:  0
扫描结束于: 2009-2-28 12:42:17
扫描用时: 0:00:00

什么IK？？？？？

尤金卡巴斯基

To KL

Palkia

rs  agent

[ 本帖最后由 Palkia 于 2009-2-28 15:01 编辑 ]

The EQs

Ultra String Reference
Address    Disassembly                               Text String
003A1094   push    003B9030                          \
003A10A6   push    003B9034                          ackdbf.bin
003A150C   push    003B9040                          \
003A151E   push    003B9044                          ackdbf.bin
003A1817   push    003B9050                          \
003A1829   push    003B9054                          ackdbf.bin
003A1A05   push    003B9060                          \
003A1A17   push    003B9064                          ackdbf.bin
003A1BC0   push    003B9070                          \
003A1BD2   push    003B9074                          ackdbf.bin
003A1CA8   push    003B9080                          \
003A1CBA   push    003B9084                          ackdbf.bin
003A202D   push    003B913C                          \
003A203F   push    003B9140                          wcertvca.exe
003A20CA   push    003B9150                          userinit
003A20CF   push    003B915C                          software\microsoft\windows nt\currentversion\winlogon
003A20E1   push    003B9194                          wcertvca.exe
003A2154   push    003B91A4                          \
003A2166   push    003B91A8                          wcertvca.exe
003A2178   push    003B91B8                          ,
003A219E   push    003B91BC                          1.hiv
003A21A9   push    003B91C4                          2.hiv
003A21B4   push    003B91CC                          c:\1.hiv
003A21B9   push    003B91D8                          software\microsoft\windows nt\currentversion
003A21E3   push    003B9208                          software\zcbsavekeyc:\1.hiv
003A2209   push    003B921C                          c:\1.hiv
003A220E   push    003B9228                          software\zcbsavekeyuserinit
003A223B   push    003B923C                          userinit
003A2240   push    003B9248                          software\zcbsavekey\winlogon
003A2263   push    003B9268                          c:\2.hiv
003A2268   push    003B9274                          software\zcbsavekeyc:\2.hiv
003A228B   push    003B9288                          c:\2.hiv
003A2290   push    003B9294                          software\microsoft\windows nt\currentversion
003A22B3   push    003B92C4                          c:\1.hiv
003A22BE   push    003B92D0                          c:\2.hiv
003A2CF1   push    003B92DC                          main control thread!
003A2E55   push    003B92F4                          \
003A2E67   push    003B92F8                          swclog.bin
003A30B0   push    003B9304                          \
003A30C2   push    003B9308                          swclog.bin
003A33D0   push    003B9314                          \
003A33E2   push    003B9318                          mscdvlc.dat%04d%02d%02d
003A347D   push    003B9324                          %04d%02d%02d
003A34D2   push    003B9334                          %02d-%02d-%02d
003A3625   push    003B9344                          \
003A3637   push    003B9348                          mscdvlc.datsedebugprivilege
003A3705   push    003B9354                          sedebugprivilege
003A3775   push    003B9368                          ezddos
003A396A   push    003B9370                          \
003A3979   push    003B9374                          wcmoderup.bin
003A3988   push    003B9384                          \
003A3997   push    003B9388                          wcertvca.exe
003A3B06   push    003B9398                          cmdkwlopducjghaxedfdske>test
003A3B78   push    003B93B8                          test
003A3F1B   push    003B93C0                          \
003A3F2A   push    003B93C4                          \wsock32.dll
003A3F76   push    003B93D4                          \
003A3F85   push    003B93D8                          wcertvca.exe
003A3FCD   push    003B93E8                          \
003A3FDC   push    003B93EC                          wcerdll.bak\
003A3FEB   push    003B93F8                          \
003A3FFA   push    003B93FC                          wcertvca.exe
003A4463   push    003B940C                          0.0.0.0
003AA69D   mov     esi, 003B941C                     )!@#$%^&*(*+n-n/;=,-./`:+<_>?~[\]'{|}"
003AA71C   push    003B9444                          \n\n++end++\n\n\n\n++begin++\n\n
003AA729   push    003B9450                          \n\n++begin++\n\n
003AA7D3   push    003B9460                           [%04d-%02d-%02d %02d:%02d:%02d]\n\n
003AAA73   push    003B9484                          [退格]
003AAA8A   push    003B948C                          [tab]
003AAAA1   push    003B9494                          [enter][空格]
003AAAB8   push    003B949C                          [空格]
003AAACF   push    003B94A4                          [pageup]
003AAAE6   push    003B94B0                          [pagedown]
003AAAFD   push    003B94BC                          [end]
003AAB14   push    003B94C4                          [home]
003AAB28   push    003B94CC                          [lf]
003AAB3C   push    003B94D4                          [uf]
003AAB50   push    003B94DC                          [rf]
003AAB64   push    003B94E4                          [df]
003AAB78   push    003B94EC                          [insert]
003AAB8C   push    003B94F8                          [delete]
003AAE7C   push    003B9504                          \
003AAE8E   push    003B9508                          keyrec.dat
003AAFFF   push    003B9514                          \
003AB00F   push    003B9518                          keyrec.dat
003AB11D   push    003B9524                          system moudle window
003AB12C   push    003B953C                          system moudle classp
003AB89E   push    003B9554
003AB8CA   push    003B9558
003AB8F9   push    003B955C                          http://:
003AB92A   push    003B9564                          :
003AB958   push    003B9568                          /
003ABA61   push    003B956C                           http://
003ABA89   push    003B9578
003ABAB1   push    003B957C                          /
003AE379   push    003B9584                          dir\n\n
003AE682   push    003B958C                          comspec /adisplay
003AE69D   push    003B9594                           /adisplay
003AEFA0   push    003B9598                          display
003AF41B   push    003B95A4                          shellmonitor
003AF57B   push    003B95B4                          \
003AF58D   push    003B95B8                          shellrec.dat
003AF6E8   push    003B95C8                          \
003AF6FA   push    003B95CC                          shellrec.dat
003AF7A8   push    003B95DC                          \
003AF7BA   push    003B95E0                          shellrec.dat
003AFCD5   push    003B95F0                          "%s" %s"%s"
003AFCED   push    003B95F8                          "%s"
003AFD05   push    003B9600                          "%s"
003B073E   push    003B9608                          sedebugprivilege
003B0B33   push    003B961C                          sebackupprivilege
003B0BBE   push    003B9630                          serestoreprivilege
003B0CF8   push    003B9644                          \*
003B0D5D   push    003B9648                          .
003B0D73   push    003B964C                          ..
003B0D9A   push    003B9650                          \
003B0E04   push    003B9654                          \
003B28D7   push    ebp                               (initial cpu selection)
003B3315   push    003B7328                          __msvcrt_heap_select
003B3354   push    003B7310                          __global_heap_selected
003B35C9   push    003B7618                          <program name unknown>
003B360B   push    003B7614                          ...<program name unknown>
003B361F   push    003B75F8                          runtime error!\n\nprogram:
003B363D   push    003B75F4                          \n\n
003B3665   push    003B75CC                          microsoft visual c++ runtime library
003B5251   push    003B76A8                          user32.dll
003B5268   push    003B769C                          messageboxauser32.dll
003B5279   push    003B768C                          getactivewindowmessageboxauser32.dll
003B5281   push    003B7678                          getlastactivepopup