收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 缓存里面的一个exe。
123下一页
返回列表 发新帖
查看: 4226|回复: 21
收起左侧

[病毒样本] 缓存里面的一个exe。

[复制链接]
polly521
头像被屏蔽
发表于 2009-3-17 19:52:58 | 显示全部楼层 |阅读模式
红伞在网页上报的是HERU/Crypted,忽略以后,关了红伞的监控,从缓存里面复制到C盘根目录打包压缩,然后打开监控,红伞又报TR/Dropper.gen

到底是什么?晕了~~~~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wcj20236
头像被屏蔽
发表于 2009-3-17 19:59:12 | 显示全部楼层
微点:

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\G1[1]\G1[1].EXE
木马程序生成以下文件:
1) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\~FRM.EXE
2) C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\TMP.TMP
3) C:\WINDOWS\SYSTEM32\DRIVERS\PCIDUMP.SYS
是否删除木马程序及其衍生物?
回复

举报

The EQs
发表于 2009-3-17 20:03:45 | 显示全部楼层
KillAV和Agent双重性质的病毒

0000A7A8   0040A7A8      0   \svchost.exe
0000A7B8   0040A7B8      0   cmd /c sc config VSSERV start= disabled
0000A7E0   0040A7E0      0   cmd /c sc config scan start= disabled
0000A808   0040A808      0   cmd /c sc config LIVESRV start= disabled
0000A834   0040A834      0   cmd /c sc config XCOMM start= disabled
0000A85C   0040A85C      0   bdagent.exe
0000A868   0040A868      0   cmd /c sc config Mcshield start= disabled
0000A894   0040A894      0   cmd /c sc config mcmscsvc start= disabled
0000A8C0   0040A8C0      0   cmd /c sc config McShield start= disabled
0000A8EC   0040A8EC      0   cmd /c sc config McProxy start= disabled
0000A918   0040A918      0   cmd /c sc config MpfService start= disabled
0000A944   0040A944      0   cmd /c sc config McNASvc start= disabled
0000A970   0040A970      0   MPFSrv.exe
0000A97C   0040A97C      0   cmd /c taskkill /im avp.exe /f
0000A99C   0040A99C      0   cmd /c sc config avp start= disabled
0000A9C4   0040A9C4      0   avp.exe
0000A9CC   0040A9CC      0   cmd /c taskkill /im ekrn.exe /f
0000A9EC   0040A9EC      0   cmd /c sc config ekrn start= disabled
0000AA14   0040AA14      0   ekrn.exe
0000AD34   0040AD34      0   taskkill
0000AD40   0040AD40      0   /f /t /im avp.exe
0000AD54   0040AD54      0   klark.kdl
0000AD60   0040AD60      0   SOFTWARE\KasperskyLab\protected\AVP8\CKAHUM\LastSet
0000AD94   0040AD94      0   SOFTWARE\Microsoft\Windows\CurrentVersion\Run
0000ADC4   0040ADC4      0   cmd /c sc config RavCCenter start= disabled
0000ADF0   0040ADF0      0   cmd /c sc config RsRavMon start= disabled
0000AE1C   0040AE1C      0   cmd /c sc config RavTray start= disabled
0000AE48   0040AE48      0   cmd /c sc config RsScanSrv start= disabled
0000AE74   0040AE74      0   cmd /c sc config RavTask start= disabled
0000AEA0   0040AEA0      0   CCENTER.EXE
0000D8A8   0040D8A8      0   __GLOBAL_HEAP_SELECTED
0000D8C0   0040D8C0      0   __MSVCRT_HEAP_SELECT




Ultra String Reference
Address    Disassembly                               Text String
0040111D   push    00407074                          server
004011F0   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
004011F5   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
00401206   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
0040124A   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
0040124F   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
00401264   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
0040130D   push    0040707C                          pcidump\\.\pcidump\drivers\pcidump.sys
004013AD   push    00407084                          \\.\pcidump\drivers\pcidump.sys
0040148C   mov     edi, 00406120                     _undelme.bat
0040156D   push    00407030                          :repeat\n\ndel "%s"\n\nif exist "%s" goto repeat\n\nrmdir %s \n\ndel "%s"
0040165E   push    00407128                          ccccc
00401663   push    00407108                          ttest game download...tt - -!
004016D2   mov     edi, 004070F8                     ^^iknnfnn,fnn
0040173B   push    00407074                          server
00401794   mov     edi, 004070E8                     ^^pwlfnn10,gzg
00401816   mov     edi, 004070E4
00401873   mov     edi, 004070DC                     iknncnn
004018B0   mov     edi, 004070E4
00401954   mov     edi, 004070D0                     ~frm.exe
00401964   push    00407074                          server
004019D8   mov     edi, 004070C0                     \updater.exe
00401A7B   mov     edi, 004070B8                     \??\
00401AD7   mov     edi, 004070A8                     \userinit.exe
00401B05   mov     edi, 00407090                     \drivers\pcidump.sys
00401B33   mov     edi, 004070B8                     \??\
00401F02   push    00406154                          __msvcrt_heap_select
00401F41   push    0040613C                          __global_heap_selected
00403A8A   push    00406444                          <program name unknown>
00403ACC   push    00406440                          ...<program name unknown>
00403AE0   push    00406424                          runtime error!\n\nprogram:
00403AFE   push    00406420                          \n\n
00403B26   push    004063F8                          microsoft visual c++ runtime library
00404C12   push    0040648C                          user32.dll
00404C29   push    00406480                          messageboxauser32.dll
00404C3A   push    00406470                          getactivewindowmessageboxauser32.dll
00404C42   push    0040645C                          getlastactivepopup
00410331   push    10008728                          '
00410458   push    10008728                          '
00410CB2   push    10008728                          '
00410F76   push    10008728                          '
00412935   push    10008728                          '
0041B193   mov     ebx, 004015D8                     3拦i
0041B19C   mov     ebx, 004015D8                     3拦i
回复

举报

Palkia
发表于 2009-3-17 20:05:17 | 显示全部楼层
kv 0
回复

举报

BING126
头像被屏蔽
发表于 2009-3-17 20:14:30 | 显示全部楼层
McAfee miss
回复

举报

1688388728
发表于 2009-3-17 20:29:55 | 显示全部楼层
发现病毒: Trojan.Crypt.CY (Engine A)
文件: g1[1].exe
回复

举报

kingmuro
头像被屏蔽
发表于 2009-3-17 21:07:10 | 显示全部楼层

BD kill

文件或对象名称 病毒名称 最终处理状态
E:\My Documents\桌面\test\g1[1]\g1[1].exe Trojan.Crypt.CY 已移动至隔离区
回复

举报

allinwonderi
发表于 2009-3-17 21:22:28 | 显示全部楼层

Norman Virus Control

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

黑衣~魂
发表于 2009-3-17 21:43:49 | 显示全部楼层
DR.WEB
g1[1].exe\data001 - probably infected with MULDROP.Trojan
回复

举报

wrq
发表于 2009-3-17 23:23:06 | 显示全部楼层
Warning

--------------------------------------------------------------------------------

In order not to compromise your security, this page will not be accessed


A virus or unwanted program has been detected
in the HTTP data on the requested page.

--------------------------------------------------------------------------------

Requested URL: http://bbs.kafan.cn/attachment.p ... 6a&t=1237303364
Information Is the TR/Dropper.Gen Trojan


--------------------------------------------------------------------------------

Generated by AntiVir WebGuard 9.0.3.0, AVE 8.2.0.116, VDF 7.1.2.182
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-7 00:50 , Processed in 0.122389 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表