某网站找的，怀疑是毒。

hddu

某网站找的，怀疑是毒。
2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\image.dll
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\image.exe
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\log.exe
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\link.exe
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\mmsystem.ini
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\lzexpand.exe
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\clipbrd.exe
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\icons
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\icons\ERR_ACCESS_DENIED
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\icons\ERR_CACHE_ACCESS_DENIED
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\icons\ERR_CACHE_MGR_ACCESS_DENIED
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

2010-01-02 22:49:51    创建文件      操作:阻止
进程路径:E:\113\113.com
文件路径:C:\windows\system\icons\ERR_CANNOT_FORWARD
触发规则:所有程序规则->WINDOWS文件夹全局阻止设置（二）->%windir%\system\*

BING126

McAfee miss

ROUND5

C:\windows\system\clipbrd.exe 联网
C:\windows\system\clipbrd.exe
C:\windows\system\icons
C:\windows\system\icons\ERR_ACCESS_DENIED
C:\windows\system\icons\ERR_CACHE_ACCESS_DENIED
C:\windows\system\icons\ERR_CACHE_MGR_ACCESS_DENIED
C:\windows\system\icons\ERR_CANNOT_FORWARD
C:\windows\system\icons\ERR_CONNECT_FAIL
C:\windows\system\icons\ERR_DNS_FAIL
C:\windows\system\icons\ERR_FORWARDING_DENIED
C:\windows\system\icons\ERR_FTP_DISABLED
C:\windows\system\icons\ERR_FTP_FAILURE
C:\windows\system\icons\ERR_FTP_FORBIDDEN
C:\windows\system\icons\ERR_FTP_NOT_FOUND
C:\windows\system\icons\ERR_FTP_PUT_CREATED
C:\windows\system\icons\ERR_FTP_PUT_ERROR
C:\windows\system\icons\ERR_FTP_PUT_MODIFIED
C:\windows\system\icons\ERR_FTP_UNAVAILABLE
C:\windows\system\icons\ERR_INVALID_REQ
C:\windows\system\icons\ERR_INVALID_RESP
C:\windows\system\icons\ERR_INVALID_URL
C:\windows\system\icons\ERR_LIFETIME_EXP
C:\windows\system\icons\ERR_NO_RELAY
C:\windows\system\icons\ERR_ONLY_IF_CACHED_MISS
C:\windows\system\icons\ERR_READ_ERROR
C:\windows\system\icons\ERR_READ_TIMEOUT
C:\windows\system\icons\ERR_SHUTTING_DOWN
C:\windows\system\icons\ERR_SOCKET_FAILURE
C:\windows\system\icons\ERR_TOO_BIG
C:\windows\system\icons\ERR_UNSUP_REQ
C:\windows\system\icons\ERR_URN_RESOLVE
C:\windows\system\icons\ERR_WRITE_ERROR
C:\windows\system\icons\ERR_ZERO_SIZE_OBJECT
C:\windows\system\image.dll
C:\windows\system\image.exe
C:\windows\system\link.exe
C:\windows\system\log.exe
C:\windows\system\lzexpand.exe
C:\windows\system\mmsystem.ini

wliao

微点

Soma Cruz

Multi Command-Line Scanner 报告
-------------------------------------------------------------------------
D:\TDDownload\113.rar
MD5 Hash: F4024CD7C322112650AFE1FFF78B82F6

A-squared -----Nothing
BitDefender -----Nothing
ClamWin -----Nothing
Dr.Web V5 ----- BackDoor.Siggen.6159
VBA32 -----Nothing

*** 1/5 杀毒引擎在文件中发现病毒 ***
-------------------------------------------------------------------------

任务完成 @ 2010/01/02 周六 23:10:02.06
注意: 结果可能与GUI版本不同。

zdlzp

程序：
C:\DOCUMENTS AND SETTINGS\\LOCAL SETTINGS\TEMP\RAR$DI00.293\113.COM
木马程序生成以下文件：
1) C:\WINDOWS\SYSTEM\IMAGE.EXE
2) C:\WINDOWS\SYSTEM\LOG.EXE
3) C:\WINDOWS\SYSTEM\LINK.EXE
4) C:\WINDOWS\SYSTEM\LZEXPAND.EXE
5) C:\WINDOWS\SYSTEM\CLIPBRD.EXE
是否删除木马程序及其衍生物?

z2665

毛豆说很危险。。
http://camas.comodo.com/cgi-bin/ ... 6ccfdbc16f4a9016084

username

生成物打包



2010-1-2 23:48:04    创建新进程    允许
进程: d:\emule\113\113.com
目标: c:\windows\system\lzexpand.exe
命令行: c:\windows\system\lzexpand.exe

2010-1-2 23:48:06    创建新进程    允许
进程: d:\emule\113\113.com
目标: c:\windows\system\clipbrd.exe
命令行: c:\windows\system\clipbrd.exe

2010-1-2 23:48:08    创建新进程    允许
进程: c:\windows\system\lzexpand.exe
目标: c:\windows\system\image.exe
命令行: c:\windows\system\image.exe -f c:\windows\system\image.dll -i -n Image

2010-1-2 23:48:08    安装驱动程序或服务    阻止
进程: c:\windows\system\image.exe
目标: Image
文件路径: c:\windows\system\image.exe --ntservice:Image

2010-1-2 23:48:10    创建新进程    阻止
进程: c:\windows\system\lzexpand.exe
目标: c:\windows\system32\net.exe
命令行: c:\windows\system32\net.exe start Image

clipbrd.exe监听tcp2929
后门用

dreams521

No malicious code were found in these files

staticfield

ESS NOD32 v4 miss

www.virustotal.com结果：
DrWeb 5.0.1.12222 2010.01.02 BackDoor.Siggen.6159
Jiangmin 13.0.900 2010.01.02 Trojan/Agent.dhso

www.virscan.org结果：
AntiVir 8.2.1.122 7.10.2.111 2010-01-01 TR/Downloader
Dr.Web 4.44.0.9170 2009.12.29 2009-12-29 BackDoor.Siggen.6159
江民杀毒 13.0.900 2010.01.02 2010-01-02 Trojan/Agent.dhso