[可疑文件] 9x

显示全部楼层 · 发表于 2010-1-16 16:41:05

本帖最后由幸福的猪猪于 2010-1-16 16:42 编辑

上报卡巴斯基。（不排除有正常文件，或者文件损坏。毕竟是恶意软件从FTP服务器下载回来的。）

显示全部楼层 · 发表于 2010-1-16 16:42:39

D:\TDDownload\9\1EE04D6292FB9054CDB36737C69CA5B1,查到病毒： W32/VB.G, 操作：删除/隔离
D:\TDDownload\9\85724756F4254C40880EB694CCCEA9BD,查到病毒： W32/VB.G, 操作：删除/隔离
D:\TDDownload\9\BEF1C9EC234F3DCD6A10932C6A55A645,查到病毒： W32/VB.G, 操作：删除/隔离

显示全部楼层 · 发表于 2010-1-16 17:02:51

诺顿杀3个

显示全部楼层 · 发表于 2010-1-16 17:12:30

360 kill6个

显示全部楼层 · 发表于 2010-1-16 17:23:21

C:\Documents and Settings\Administrator\桌面\9.rar
  [0] 压缩文档类型: RAR
--> BEF1C9EC234F3DCD6A10932C6A55A645
   [检测]       Is the TR/Spy.49152.164 Trojan
--> 1EE04D6292FB9054CDB36737C69CA5B1
   [检测]       Is the TR/Spy.49152.118 Trojan
--> 1A40E8686299BD9CDD4B9D4291B37E90
   [检测]       Contains recognition pattern of the SPR/Proxy.R program

开始杀毒:
C:\Documents and Settings\Administrator\桌面\9.rar
[警告]       此文件已被忽略！
其余 to Avira

显示全部楼层 · 发表于 2010-1-16 18:12:15

miss 5
4C2F341924836C8EFA3BF5889C8A4E04
70E718D56738AEE8A56AC2BFC089AEB9
6424453045E4F8CE7FE7E87D8D6161E2
少文件无法运行
2010-01-16 18:03:21 运行应用程序    操作:允许
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\System32\rundll32.exe
命令行:C:\WINDOWS\System32\firewall.cpl,ShowNotificationDialog /configure "C:\Documents and Settings\Ray\桌面\9\9C3127AC931321C2B1FDE7F41445A276.exe"
触发规则:所有程序规则->*

2010-01-16 18:03:31 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Ray\桌面\9\9C3127AC931321C2B1FDE7F41445A276.exe
文件路径:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->*

2010-01-16 18:03:32 运行应用程序    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\system32\wuauclt.exe
命令行:/RunStoreAsComServer Local\[340]SUSDS19d57e39b371cc4caf7ff24adfe940ee
这个行为很奇怪，显示防火墙窗口，启动conime.exe

2010-01-16 18:03:55 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Ray\桌面\9\9DB73F13F49DAC68162688D9540EBA84.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOTEPAD.EXE
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2010-01-16 18:03:58 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Ray\桌面\9\9DB73F13F49DAC68162688D9540EBA84.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOTEPAD.EXE
注册表名称:Debugger
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

2010-01-16 18:03:59 修改注册表内容    操作:允许
进程路径:C:\Documents and Settings\Ray\桌面\9\9DB73F13F49DAC68162688D9540EBA84.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOTEPAD.EXE
注册表名称:Debugger
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
这个很可疑把notepad指向自己，镜像劫持

显示全部楼层 · 发表于 2010-1-16 18:13:13

结论：windows 9X时代的病毒

显示全部楼层 · 发表于 2010-1-16 18:15:55

2010/1/16 18:14:23 No Action Taken ekincheng ODS C:\Users\ekincheng\Desktop\9.rar\BEF1C9EC234F3DCD6A10932C6A55A645 Artemis!BEF1C9EC234F (Trojan)
2010/1/16 18:14:23 No Action Taken ekincheng ODS C:\Users\ekincheng\Desktop\9.rar\1EE04D6292FB9054CDB36737C69CA5B1 Generic.dx!bpe (Trojan)
2010/1/16 18:14:24 No Action Taken ekincheng ODS C:\Users\ekincheng\Desktop\9.rar\9DB73F13F49DAC68162688D9540EBA84 Artemis!9DB73F13F49D (Trojan)
2010/1/16 18:14:25 No Action Taken ekincheng ODS C:\Users\ekincheng\Desktop\9.rar\1A40E8686299BD9CDD4B9D4291B37E90 Artemis!1A40E8686299 (Trojan)
2010/1/16 18:14:26 No Action Taken ekincheng ODS C:\Users\ekincheng\Desktop\9.rar\9C3127AC931321C2B1FDE7F41445A276 Artemis!9C3127AC9313 (Trojan)
2010/1/16 18:14:30 No Action Taken ekincheng ODS C:\Users\ekincheng\Desktop\9.rar\85724756F4254C40880EB694CCCEA9BD Artemis!85724756F425 (Trojan)
6个

显示全部楼层 · 发表于 2010-1-16 20:20:30

8个特洛伊

[可疑文件] 9x

本帖子中包含更多资源