某网站抓的“视频播放插件”

Soma Cruz

Multi Command-Line Scanner 报告
-------------------------------------------------------------------------
D:\TDDownload\qvodplus_22_wjy.exe
MD5 Hash: 763798589F7CCDCFB71B4FA5A4F3DB40

A-squared ----- Trojan-Dropper!IK
AntiVir V7 ----- TR/Dropper.Gen
BitDefender ----- Gen:Trojan.Heur.fmGfrfRZ5Dlbu
ClamWin -----Nothing
Dr.Web V5 -----Nothing
F-Prot -----Nothing
Mcafee ----- Generic.dx!fzh
Sophos ----- Mal/Behav-116
VBA32 -----Nothing

*** 5/9 杀毒引擎在文件中发现病毒 ***
-------------------------------------------------------------------------

任务完成 @ 2009/10/23 周五 13:57:19.81
注意: 结果可能与GUI版本不同。

jpzy

不能光看文件名称的。
qvod的插件貌似没这么小~~

sxhql

江民2010 没反应

白羊座

弹框真多，我差点点错
2009/10/23 14:52:30    修改注册表值    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000000(0)
规则: [注册表组]IE浏览器设置保护（阻止） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2009/10/23 14:52:30    创建新进程    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.21310.cn/?wjy_v13
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\program files\internet explorer\iexplore.exe

2009/10/23 14:52:30    访问COM接口    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: {FBF23B40-E3F0-101B-8488-00AA003E56F8} InternetShortcut
文件路径: C:\Windows\System32\ieframe.dll
规则: [应用程序]* -> [COM接口]{FBF23B40-E3F0-101B-8488-00AA003E56F8}

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\ProgramData\Microsoft\Windows\Start Menu\Internet Explorer.lnk
规则: [文件组]系统文件夹写保护(询问创建、修改） -> [文件]c:\*\microsoft\windows\start menu\*

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\Users\XicE\AppData\Roaming\Microsoft\Windows\Start Menu\Internet Explorer.lnk
规则: [文件组]系统文件夹写保护(询问创建、修改） -> [文件]c:\*\microsoft\windows\start menu\*

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
规则: [文件组]系统文件夹写保护(询问创建、修改） -> [文件]c:\*\microsoft\windows\start menu\*

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\Users\XicE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
规则: [文件组]系统文件夹写保护(询问创建、修改） -> [文件]c:\*\microsoft\windows\start menu\*

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\Users\XicE\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [文件组]系统文件夹写保护(询问创建、修改） -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2009/10/23 14:52:30    删除注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{04731B67-D933-450a-90E6-4ACD2E9408FE}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    删除注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{26EE0668-A00A-44D7-9371-BEB064C98683}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    删除注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{59031a47-3f72-44a7-89c5-5595fe6b30ee}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    删除注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{BD7A2E7B-21CB-41b2-A086-B309680C6B7E}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    删除注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e345f35f-9397-435c-8f95-4e922c26259e}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    删除注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{F3F5824C-AD58-4728-AF59-A1EBE3392799}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    创建注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{BC8CE4BD-795C-4551-AD4C-9504C75B50CA}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace; {????????-????-????-????-????????????}

2009/10/23 14:52:30    创建注册表项    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC8CE4BD-795C-4551-AD4C-9504C75B50CA}
规则: [注册表组]系统关键设置保护(询问） -> [注册表]*\SOFTWARE\Classes\CLSID; {????????-????-????-????-????????????}

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\Windows\system32\dy_m32_cn.ico
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2009/10/23 14:52:30    创建文件    阻止
进程: i:\试毒\qvodplus_22_wjy.exe
目标: C:\Windows\system32\yx_m32_cn.ico
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2009/10/23 14:52:30    创建新进程    阻止并结束进程
进程: i:\试毒\qvodplus_22_wjy.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c del I:\试毒\QVODPL~1.EXE > nul
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

hee

有病毒的  我刚刚下 小红伞就提醒了 TR/Dropper.Gen

neguyer

ess 4.0 miss

失落的手链

瑞星报毒一个！~

kalynn84

Win32:Malware-gen

BING126

貌似是毒。。

尤金卡巴斯基

To KL