过红伞

solcroft

tel.xls.exe

红伞不会是报了双扩展名吧？

mofunzone

像是最新的启发
不过文件确实没报，上报了
Thank you for your submission. Below you can see the current status of the uploaded files.


A listing of files alongside their results can be found below:File ID         Filename         Size (Byte)        Result
217851         tel.xls.exe         1.025.148         UNDER ANALYSIS



Please find a detailed report concerning each individual sample below: Filename        Result
tel.xls.exe         UNDER ANALYSIS


The file 'tel.xls.exe' has been determined to be 'UNDER ANALYSIS'.

Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.

鱼是一只我

你用的是什么版本的红伞？c版？

pen

解压后双击运行，微点报警，内容如下：

发现未知木马，是否删除？
木马名称:未知木马
程序:
C:\DOCUMENTS AND SETTINGS\xx\桌面\病毒\TEL.XLS.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\SOCKSA.EXE
2) C:\WINDOWS\SYSTEM32\FILEKAN.EXE
3) C:\WINDOWS\SYSTEM32\ALGSRV.EXE
是否删除木马程序及其衍生物?

微点版本信息：
       程序版本：1.2.10569.0036
       特征版本：1.4.226.070307
       更新时间：2007-03-07   22:27:53

[ 本帖最后由 pen 于 2007-3-8 12:05 编辑 ]

Nblock

好久没玩了

操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:E:\soft_killer\ziqi病毒\tel.xls.exe
规则:所有程序规则->*

2007-03-08 12:32:24    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\SocksA.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:24    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\SocksA.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:24    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\SocksA.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:24    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\FileKan.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:24    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\FileKan.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:24    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\FileKan.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\algsrv.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\algsrv.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\WINDOWS\system32\algsrv.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\tel.xls.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\tel.xls.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\tel.xls.exe
规则:所有程序规则->全局设置_可执行文件1_普通模式->全局设置_可执行文件1_普通模式->%SystemDrive%\*.exe->%SystemDrive%\*.exe

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:C:\AUTORUN.INF
规则:黑名单->黑名单->黑名单->*\autorun.inf->*\autorun.inf

2007-03-08 12:32:25    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:D:\AUTORUN.INF
规则:黑名单->黑名单->黑名单->*\autorun.inf->*\autorun.inf

2007-03-08 12:32:26    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:E:\AUTORUN.INF
规则:黑名单->黑名单->黑名单->*\autorun.inf->*\autorun.inf

2007-03-08 12:32:27    创建文件
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
文件路径:F:\AUTORUN.INF
规则:黑名单->黑名单->黑名单->*\autorun.inf->*\autorun.inf

2007-03-08 12:32:28     修改注册表内容
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
规则:应用程序规则->默认组->%ProgramFiles%\Tencent\QQ\QQ.exe->*\Software\Microsoft\Internet explorer\Menuext*

2007-03-08 12:32:28    修改注册表内容
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:ASocksrv
规则:应用程序规则->默认组->%ProgramFiles%\Tencent\QQ\QQ.exe->*\Software\Microsoft\Internet explorer\Menuext*

2007-03-08 12:32:28    修改注册表内容
操作:阻止
进程路径:E:\soft_killer\ziqi病毒\tel.xls.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:BSserver
规则:应用程序规则->默认组->%ProgramFiles%\Tencent\QQ\QQ.exe->*\Software\Microsoft\Internet explorer\Menuext*

[ 本帖最后由 Nblock 于 2007-3-8 12:39 编辑 ]

zls156

驱逐舰又没有反应

The EQs

Time        Module        Object        Name        Threat        Action        User        Information
2007-3-8 12:35:41        AMON        file        C:\DOCUME~1\EQ2\LOCALS~1\Temp\Rar$VR00.328\病毒.rar\tel.xls.exe        Win32/VB.EL worm        quarantined - deleted - error while cleaning - operation unavailable for this type of object        KASPERSK-6C4206\EQ2        Event occurred on a new file created by the application: D:\Program Files\WinRAR\WinRAR.exe. The file was moved to quarantine. You may close this window.

马力

瑞星报杀

[ 本帖最后由 马力 于 2007-3-8 13:08 编辑 ]

allenhippo

norton:

绅博周幸

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.VB.vtj            

MAC地址：00:14:2A:9D:96:CC

用户来源：局域网

软件版本：19.13.31