老外的autorun失效N久后又开始大规模爆发了

The EQs

愚人节前的前奏？

Ultra String Reference Plugin
Address    Disassembly                               Text String
00401190   push    00402120                          ://Software\Microsoft\Internet Explorer\TypedURLs
004011E4   push    00402124                          Software\Microsoft\Internet Explorer\TypedURLs
004013B6   push    00402120                          ://Software\Microsoft\Internet Explorer\TypedURLs
00401404   mov     dword ptr [ebp-8], 00402168       places.sqlite
0040140B   mov     dword ptr [ebp-4], 0040215C       history.datplaces.sqlite
00401424   push    00402154                          %s%s\%shistory.datplaces.sqlite
00401467   mov     dword ptr [ebp-1C], 004021E0      \Mozilla\Firefox\Profiles\*ntdll.dll
0040146E   mov     dword ptr [ebp-18], 004021C4      \Opera\Opera\profile\*.dat
00401475   mov     dword ptr [ebp-14], 004021A4      \Apple Computer\Safari\*.plist
0040147C   mov     dword ptr [ebp-10], 00402180      \Google\Chrome\User Data\Default\*
00401552   push    00402178                          %s%s
004015D0   push    004021FC                          ntdll.dll
00401687   mov     dword ptr [ebp-8], 00402208       \TDKP
004018C4   push    00402214                          gaopdxvx
004018D5   push    ebp                               (Initial CPU selection)
00401921   push    004022F0                          .com
0040193D   push    004022E4                          explorer
00401942   push    004022DC                          open
0040197D   push    004022D4                          \??\%s
004019B9   push    004022D0                          tmp\??\%s
00401A12   mov     dword ptr [ebp-8], 004022A8       \knowndlls\dll.dll
00401A62   push    004022D0                          tmp\??\%s
00401A7C   push    00402278                          \\?\globalroot\systemroot\system32\msvcrt.dll
00401AC0   mov     dword ptr [ebp-10], 0040224C      \knowndlls\msvcrt.dll
00401B04   push    00402278                          \\?\globalroot\systemroot\system32\msvcrt.dll
00401B41   push    00402248                          tan\knowndlls\msvcrt.dll
00401C71   mov     dword ptr [ebp+5C], 00402234      \msi.dat
00401CC0   push    0040222C                          spooler\msi.dat
00401DDF   mov     eax, 00402220                     temp\tempo-spooler\msi.dat
00401E12   mov     eax, 00402224                     \tempo-spooler\msi.dat
00401E3F   push    00402225                          tempo-spooler\msi.dat

SUZAKU

卡巴斯基杀毒报告结果：

Kill       1

Sebastian

TR/Crypt.ZPACK.Gen

黑衣~魂

DR.WEB
\DigitalHQ (1)\DigitalHQ.exe - infected with BackDoor.Tdss.119

VT-Result: 8/40 (20%)
http://www.virustotal.com/analisis/afcdf1f07961fc45e51836c53a358602

[ 本帖最后由 黑衣~魂 于 2009-3-26 21:20 编辑 ]

Lazey

程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\DIGITALHQ (1)\DIGITALHQ.EXE
是否删除木马程序及其衍生物?

kingmuro

过BD和pctools

左手

2009-03-26 22:29:43    修改注册表内容      操作:阻止
进程路径:E:\virus\DigitalHQ (1)\DigitalHQ.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:AppData
触发规则:所有程序规则->07-系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*


2009-03-26 22:29:43    修改注册表内容      操作:阻止
进程路径:E:\virus\DigitalHQ (1)\DigitalHQ.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Local AppData
触发规则:所有程序规则->07-系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*


2009-03-26 22:29:43    修改注册表内容      操作:阻止
进程路径:E:\virus\DigitalHQ (1)\DigitalHQ.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:AppData
触发规则:所有程序规则->07-系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*


2009-03-26 22:29:43    修改注册表内容      操作:阻止
进程路径:E:\virus\DigitalHQ (1)\DigitalHQ.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Local AppData
触发规则:所有程序规则->07-系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*

iorikyox

kis8.0，20090326 17：04的病毒库，没有报

zse3665502

被红伞和NOD32报

iorikyox

原帖由 SUZAKU 于 2009-3-26 21:06 发表
卡巴斯基杀毒报告结果：

Kill       1

请教你的设置，我的没有报毒啊！？

kis8.0 506 20090326 17：04病毒库