[可疑文件] 1k

显示全部楼层 · 发表于 2009-12-3 10:15:55

本帖最后由 hddu 于 2009-12-3 10:16 编辑

1k

显示全部楼层 · 发表于 2009-12-3 10:28:33

回复 1# hddu

ess kill3个，其它上报了

显示全部楼层 · 发表于 2009-12-3 10:31:05

显示全部楼层 · 发表于 2009-12-3 10:34:52

蜘蛛 AVK 直接kill

显示全部楼层 · 发表于 2009-12-3 10:43:04

kv主防报 kv监控报杀主病毒的分支病毒

显示全部楼层 · 发表于 2009-12-3 10:59:44

to rising

显示全部楼层 · 发表于 2009-12-3 11:10:08

ファイルスキャンの開始:

'E:\1k.rar' のスキャンを開始
E:\1k.rar
  [0] アーカイブタイプ: RAR
--> 1k\3.exe
   [1] アーカイブタイプ: NSIS
   --> [UnknownDir]/sysmain.dat
      [検出]       TR/Spy.Agent.azem トロイです
   --> [UnknownDir]/sysvc.dat
      [検出]       TR/Downloader.Gen トロイです
[注意]       ファイルは削除されました。

显示全部楼层 · 发表于 2009-12-3 12:45:01

微点杀毒

显示全部楼层 · 发表于 2009-12-3 15:27:01

3.exe
   　setup.exe
   　　mifcz.exe
   　　nruxa.exe
   　　net.exe
      　　　net1.exe
   　regsvr32.exe

3.exe
·文件删除
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz2.tmp
·文件创建
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\ThunderSafe.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\ccfapi32.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\ccfapi321.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\nvmctray.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\nvsys.ini
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\setup.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\sysmain.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\sysvc.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz2.tmp
·文件修改
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\ThunderSafe.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\ccfapi32.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\ccfapi321.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\nvmctray.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\nvsys.ini
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\setup.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\sysmain.dat
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\sysvc.dat
MountPointManager
PIPE\lsarpc
·进程创建
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\setup.exe
C:\WINDOWS\system32\regsvr32.exe

setup.exe
·文件创建
C:\WINDOWS\system32\mssrcid.ini
·文件重命名
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\nvsys.ini to C:\WINDOWS\system32\njgda.ini
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\sysmain.dat to C:\WINDOWS\system32\mifcz.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Messenger\sysvc.dat to C:\WINDOWS\system32\nruxa.exe
·进程创建
C:\WINDOWS\system32\mifcz.exe Trojan.Win32.Small（IK）
C:\WINDOWS\system32\nruxa.exe
C:\WINDOWS\system32\net.exe

regsvr32.exe
·键值创建
HKEY_LOCAL_MACHINE\Software\Classes\ThunderSif.WebSafeCenter.1
HKEY_LOCAL_MACHINE\Software\Classes\ThunderSif.WebSafeCenter.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\ThunderSif.WebSafeCenter
HKEY_LOCAL_MACHINE\Software\Classes\ThunderSif.WebSafeCenter\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\ThunderSif.WebSafeCenter\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{451B9F14-A525-45BB-A6EE-4B5A61323B35}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{451B9F14-A525-45BB-A6EE-4B5A61323B35}\ProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{451B9F14-A525-45BB-A6EE-4B5A61323B35}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{451B9F14-A525-45BB-A6EE-4B5A61323B35}\Programmable
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{451B9F14-A525-45BB-A6EE-4B5A61323B35}\InprocServer32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{451B9F14-A525-45BB-A6EE-4B5A61323B35}\TypeLib
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{451B9F14-A525-45BB-A6EE-4B5A61323B35}
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{6C3433B1-83EB-4941-998B-06C918733770}
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{6C3433B1-83EB-4941-998B-06C918733770}\1.0
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{6C3433B1-83EB-4941-998B-06C918733770}\1.0\FLAGS
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{6C3433B1-83EB-4941-998B-06C918733770}\1.0\0
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{6C3433B1-83EB-4941-998B-06C918733770}\1.0\0\win32
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{6C3433B1-83EB-4941-998B-06C918733770}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{21BC973C-66FC-4B79-B00E-51D69E7DBF8E}
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{21BC973C-66FC-4B79-B00E-51D69E7DBF8E}\ProxyStubClsid
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{21BC973C-66FC-4B79-B00E-51D69E7DBF8E}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{21BC973C-66FC-4B79-B00E-51D69E7DBF8E}\TypeLib

显示全部楼层 · 发表于 2009-12-3 19:12:34

微点

[可疑文件] 1k

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源