机器狗的一个变种，看看谁的杀毒好。

显示全部楼层 · 发表于 2009-4-20 20:05:05

这个病毒是机器狗的变种，在下载完以后用杀软很难杀出毒来，但安装后就直接安装了机器狗安装器了，国内的杀软都扫不出来，卡巴和NOD32也是扫不出来，我有两个杀软，我用AVAST4.8作辅助，用小A扫描是恶意软件。如果对自己处理病毒的能力有信心的可以安装试试，他把我的nod32给干掉了，屏蔽了，我高启发全开，其实这是很正常的，没有哪个杀软是全能力的，但是很多杀软都没有扫出毒来，这一点还是让我很吃惊的，看这样病毒永远比杀软超前啊，样本我也不会传，把网址告诉大家自己下吧，谁把毒扫出来说一下，看看谁的杀软强些，我用的是小A和nod32组合，有兴趣的可以试试。

http://www.qvod345.cn/qvodsetupplus.exe

谢谢大家多多交流、

发完贴以后我重新下载了，可是我的小A还杀不出毒了，是正常的安装软件了，看这样我还要用红伞和微点试试了，我想知道微点占不占内存啊谢谢用过微点的朋友了。

[ 本帖最后由 chinawallace 于 2009-4-20 20:20 编辑 ]

显示全部楼层 · 发表于 2009-4-20 20:07:14

TR/Dldr.Agent.xsd

显示全部楼层 · 发表于 2009-4-20 20:10:12

原帖由 Sebastian 于 2009-4-20 20:07 发表
TR/Dldr.Agent.xsd

是什么杀软啊

显示全部楼层 · 发表于 2009-4-20 20:11:06

程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\QVODSETUPPLUS.EXE
木马程序生成以下文件：
1) F:\TEMP\OPE8.EXE
2) C:\WINDOWS\SYSTEM32\KILLDLL.DLL
3) C:\WINDOWS\SYSTEM32\DRIVERS\ASYNCMAC.SYS
4) F:\TEMP\OPE9.EXE
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2009-4-20 20:11:20

红伞

显示全部楼层 · 发表于 2009-4-20 20:11:40

楼上很明显是红伞了～

显示全部楼层 · 发表于 2009-4-20 20:13:58

原帖由 shmily512099 于 2009-4-20 20:11 发表
程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\QVODSETUPPLUS.EXE
木马程序生成以下文件：
1) F:\TEMP\OPE8.EXE
2) C:\WINDOWS\SYSTEM32\KILLDLL.DLL
3) C:\WINDOWS\SYSTEM32\DRIVERS\ASYNCMAC.SYS
4) ...

四楼的是什么杀软啊

显示全部楼层 · 发表于 2009-4-20 20:14:39

微点

显示全部楼层 · 发表于 2009-4-20 20:16:00

红伞WG报TR/Crypt.XDR.Gen

显示全部楼层 · 发表于 2009-4-20 20:23:38

2009-4-20 20:18:15 创建新进程允许
进程: d:\软件\qvodsetupplus.exe
目标: c:\documents and settings\administrator\local settings\temp\ope5a.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope5A.exe"
规则: [应用程序]* -> [子应用程序]*\temp*\*

2009-4-20 20:18:15 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\ope5a.exe
目标: C:\WINDOWS\system32\killdll.dll
规则: [应用程序组]通用程序 -> [应用程序]c:\documents and settings\*\local settings\temp\* -> [文件]c:\windows\system32; *.dll

2009-4-20 20:18:15 创建新进程阻止
进程: c:\documents and settings\administrator\local settings\temp\ope5a.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\killdll.dll killall
规则: [应用程序]* -> [子应用程序]c:\windows\system32\rundll32.exe

2009-4-20 20:18:15 创建新进程允许
进程: d:\软件\qvodsetupplus.exe
目标: c:\documents and settings\administrator\local settings\temp\ope5b.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope5B.exe"
规则: [应用程序]* -> [子应用程序]*\temp*\*

2009-4-20 20:18:15 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\ope5b.exe
目标: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_0\irsetup.exe
命令行: __IRAOFF:520716 "__IRAFN:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ope5B.exe"
规则: [应用程序]* -> [子应用程序]*\temp*\*

2009-4-20 20:18:15 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_0\irsetup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
值: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*; startup

2009-4-20 20:18:15 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_0\irsetup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
值: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*; common startup

2009-4-20 20:18:15 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_0\irsetup.exe
目标: C:\WINDOWS\快播（Qvod Player）3.0 Setup Log.txt
规则: [文件组]关系到系统启动运行的文件_阻止建改删 -> [文件]c:\windows\*

2009-4-20 20:18:27 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\_ir_sf7_temp_0\irsetup.exe
目标: d:\Program Files\快播（Qvod Player）3.0\Uninstall\uninstall.dat
规则: [文件]*

2009-4-20 20:18:40 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\ope5a.exe
目标: C:\WINDOWS\26479906_xeex.exe
规则: [应用程序组]通用程序 -> [应用程序]c:\documents and settings\*\local settings\temp\* -> [文件]c:\windows; *.exe

2009-4-20 20:18:40 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\ope5a.exe
目标: C:\WINDOWS\system32\drivers\pcidump.sys
规则: [文件组]危险文件和重要文件_阻止建改删 -> [文件]*; *.sys

2009-4-20 20:18:40 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
规则: [注册表组]自动运行 -> [注册表]HKEY_LOCAL_MACHINE\system\currentcontrolset\services*

2009-4-20 20:18:40 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
规则: [注册表组]自动运行 -> [注册表]HKEY_LOCAL_MACHINE\system\currentcontrolset\services*

2009-4-20 20:18:41 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\ope5a.exe
目标: C:\WINDOWS\system32\scvhost.exe
规则: [文件组]关系到系统启动运行的文件_阻止建改删 -> [文件]c:\windows\*

[病毒样本] 机器狗的一个变种，看看谁的杀毒好。

回复 3楼 chinawallace 的帖子

回复 7楼 chinawallace 的帖子