修改电脑时间为2080年的病毒,请高手分析

显示全部楼层 · 发表于 2009-5-13 20:37:15

Hello,

ppsap.exe_ - Trojan-Downloader.Win32.VB.mlh

This file is already detected. Please update your antivirus bases.

uninst.exe_, UpFile.exe_

No malicious code were found in these files.

win.exe_ - Trojan.Win32.StartPage.dpe

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

显示全部楼层 · 发表于 2009-5-13 21:20:56

2009-05-13 21:19:25 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\7.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im  rfwmain.exe
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

2009-05-13 21:19:26 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\A0000003.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im  rfwmain.exe
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

2009-05-13 21:19:28 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\8006.exe
文件路径:C:\WINDOWS\Temp\nse193.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:28 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\8006.exe
文件路径:C:\WINDOWS\Temp\nse194.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:29 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\CVMCOS.exe
文件路径:C:\WINDOWS\Fonts\ravuusee.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:29 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\CVMCOS.exe
文件路径:C:\WINDOWS\Fonts\ravuusee.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:34 运行应用程序    操作:阻止
进程路径:E:\virus\du\IEXPLOER.EXE
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {871C5380-42A0-1069-A2EA-08002B30309D} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
触发规则:所有程序规则->A02-禁止运行的高危程序（黑名单）->%windir%\system32\*

2009-05-13 21:19:34 修改注册表内容    操作:阻止
进程路径:E:\virus\du\IEXPLOER.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cookies
触发规则:所有程序规则->A03-IE浏览器设置保护（黑名单）增强->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

2009-05-13 21:19:34 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\IEXPLOER.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""E:\virus\du\kill.bat""
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

2009-05-13 21:19:35 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\KeiLei.exe
文件路径:C:\WINDOWS\system32\KeiLei.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:35 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\KeiLei.exe
文件路径:C:\WINDOWS\system32\KeiLei.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:36 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\kunet.exe
文件路径:C:\WINDOWS\Temp\nsl195.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:36 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\kunet.exe
文件路径:C:\WINDOWS\Temp\nsl196.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:38 创建文件    操作:阻止
进程路径:E:\virus\du\lenschk.exe
文件路径:C:\WINDOWS\system32\lensch.dll
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.dll

2009-05-13 21:19:38 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\lenschk.exe
文件路径:C:\WINDOWS\system32\lenschk.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:38 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\lenschk.exe
文件路径:C:\WINDOWS\system32\lenschk.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:38 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\llwzjy081008.exe
文件路径:C:\WINDOWS\system\llwzjy081008.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:38 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\llwzjy081008.exe
文件路径:C:\WINDOWS\system\llwzjy081008.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:39 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\msn080.exe
文件路径:C:\WINDOWS\Temp\nsf197.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:39 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\msn080.exe
文件路径:C:\WINDOWS\Temp\nsf198.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:40 运行应用程序    操作:阻止
进程路径:E:\virus\du\ppsap.exe
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {871C5380-42A0-1069-A2EA-08002B30309D} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
触发规则:所有程序规则->A02-禁止运行的高危程序（黑名单）->%windir%\system32\*

2009-05-13 21:19:40 修改注册表内容    操作:阻止
进程路径:E:\virus\du\ppsap.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cookies
触发规则:所有程序规则->A03-IE浏览器设置保护（黑名单）增强->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

2009-05-13 21:19:40 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\ppsap.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c net stop sharedaccess
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

2009-05-13 21:19:41 运行应用程序    操作:阻止
进程路径:E:\virus\du\ravuusee.exe
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {871C5380-42A0-1069-A2EA-08002B30309D} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
触发规则:所有程序规则->A02-禁止运行的高危程序（黑名单）->%windir%\system32\*

2009-05-13 21:19:41 修改注册表内容    操作:阻止
进程路径:E:\virus\du\ravuusee.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cookies
触发规则:所有程序规则->A03-IE浏览器设置保护（黑名单）增强->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

2009-05-13 21:19:41 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\ravuusee.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行: /c net stop sharedaccess
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

2009-05-13 21:19:42 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\connin.exe
文件路径:C:\WINDOWS\system32\csrsses.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:45 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\sgcxcxxaspf080610.exe
文件路径:C:\WINDOWS\system32\inf\
触发规则:所有程序规则->A05-禁止创建文件的目录（黑名单）->%WinDir%\system32\*

2009-05-13 21:19:45 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\SVMCOS.exe
文件路径:C:\WINDOWS\Tasks\SMSS.EXE
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:45 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\SVMCOS.exe
文件路径:C:\WINDOWS\Tasks\SMSS.EXE
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:19:48 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\tbsetup(-33554365).exe
文件路径:C:\WINDOWS\Temp\nsu199.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:48 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\tbsetup(-33554365).exe
文件路径:C:\WINDOWS\Temp\nsu19A.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:49 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\uninst.exe
文件路径:C:\WINDOWS\Temp\nsb19B.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:55 运行应用程序    操作:阻止
进程路径:E:\virus\du\WSMSSE.EXE
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {871C5380-42A0-1069-A2EA-08002B30309D} /I {000214E6-0000-0000-C000-000000000046} /X 0x401
触发规则:所有程序规则->A02-禁止运行的高危程序（黑名单）->%windir%\system32\*

2009-05-13 21:19:55 修改注册表内容    操作:阻止
进程路径:E:\virus\du\WSMSSE.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cookies
触发规则:所有程序规则->A03-IE浏览器设置保护（黑名单）增强->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

2009-05-13 21:19:55 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\WSMSSE.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c net stop sharedaccess
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

2009-05-13 21:19:56 创建文件    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\WINDOWS\TEMP\scs19C.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:56 创建文件    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\WINDOWS\scs19D.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:56 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\H?H?
触发规则:所有程序规则->A05-禁止创建文件的目录（黑名单）->%SystemDrive%\*

2009-05-13 21:19:58 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\xm.exe
文件路径:C:\WINDOWS\~DFC9AE.tmp
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:19:59 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\zx.exe
文件路径:C:\WINDOWS\system32\d4f876.drv
触发规则:应用程序规则->A04-常见修改程序组->*.*->%windir%\*

2009-05-13 21:20:01 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\zyndle081008.exe
文件路径:C:\WINDOWS\system\zyndle081008.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:20:01 创建文件    操作:阻止并结束进程
进程路径:E:\virus\du\zyndle081008.exe
文件路径:C:\WINDOWS\system\zyndle081008.exe
触发规则:应用程序规则->A04-常见修改程序组->*.*->*\*.exe

2009-05-13 21:20:02 运行应用程序    操作:阻止并结束进程
进程路径:E:\virus\du\复件 7.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im  rfwmain.exe
触发规则:应用程序规则->A04-禁止的程序操作->*.*->*\cmd.exe

[病毒样本] 修改电脑时间为2080年的病毒,请高手分析