UltimateCodes.exe(0908)

显示全部楼层 · 发表于 2010-9-8 19:47:06

TO Kaspersky

显示全部楼层 · 发表于 2010-9-8 20:07:39

2010-9-8 20:02:17 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
命令行: "C:\Documents and Settings\XE-CJ\My Documents\UltimateCodes.exe"
规则: [应用程序]c:\windows\explorer.exe

2010-9-8 20:02:45 访问网络允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: TCP [本机 : 1265] ->  [195.2.252.15 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-9-8 20:02:46 访问网络允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: TCP [本机 : 1266] ->  [195.2.252.19 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-9-8 20:02:59 创建文件允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: C:\Documents and Settings\XE-CJ\Local Settings\Temp\awtijouq.exe
规则: [文件组]临时目录 -> [文件]c:\documents and settings\xe-cj\local settings\temp; *.exe

2010-9-8 20:03:01 创建文件允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: C:\Documents and Settings\XE-CJ\Local Settings\Temp\qhvi.exe
规则: [文件组]临时目录 -> [文件]c:\documents and settings\xe-cj\local settings\temp; *.exe

2010-9-8 20:03:02 创建新进程允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: c:\documents and settings\xe-cj\local settings\temp\awtijouq.exe
命令行: C:\DOCUME~1\XE-CJ\LOCALS~1\Temp\awtijouq.exe
规则: [应用程序]*

2010-9-8 20:03:04 创建新进程允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: c:\documents and settings\xe-cj\local settings\temp\qhvi.exe
命令行: C:\DOCUME~1\XE-CJ\LOCALS~1\Temp\qhvi.exe
规则: [应用程序]*

2010-9-8 20:03:11 访问网络允许
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: TCP [本机 : 1271] ->  [195.2.252.15 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-9-8 20:03:22 创建新进程阻止
进程: c:\documents and settings\xe-cj\my documents\ultimatecodes.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c del C:\DOCUME~1\XE-CJ\MYDOCU~1\ULTIMA~1.EXE > nul
规则: [应用程序]*

2010-9-8 20:03:28 访问网络允许
进程: c:\documents and settings\xe-cj\local settings\temp\awtijouq.exe
目标: TCP [本机 : 1272] ->  [64.120.144.69 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-9-8 20:03:28 访问网络允许
进程: c:\documents and settings\xe-cj\local settings\temp\qhvi.exe
目标: TCP [本机 : 1273] ->  [195.2.252.15 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-9-8 20:03:35 创建文件允许
进程: c:\documents and settings\xe-cj\local settings\temp\qhvi.exe
目标: C:\Documents and Settings\XE-CJ\Local Settings\Temporary Internet Files\Content.IE5\SVSXUT01\kbsqlga[1].htm
规则: [文件]*

2010-9-8 20:03:37 创建新进程阻止
进程: c:\documents and settings\xe-cj\local settings\temp\qhvi.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c del C:\DOCUME~1\XE-CJ\LOCALS~1\Temp\qhvi.exe > nul
规则: [应用程序]*

生成物

显示全部楼层 · 发表于 2010-9-9 01:31:37

c:\users\administrator\appdata\local\temp\awtijouq.exe
____________________________
____________________________
在电脑上的创建时间:
2010/9/9 ( 1:27:16 )
上次使用时间:
2010/9/9 ( 1:27:29 )
启动项:
否
已启动:
是
____________________________
____________________________
少量用户信任的文件
诺顿社区中有不到 50 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自 URL 不可用

来源: 外部介质源文件:
winrar.exe
文件创建日期:
ultimatecodes.exe
文件创建日期:
awtijouq.exe

____________________________
文件操作
文件: c:\users\administrator\appdata\local\temp\awtijouq.exe
已删除
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

c:\users\administrator\appdata\local\temp\iravfx.exe
____________________________
____________________________
在电脑上的创建时间:
2010/9/9 ( 1:27:25 )
上次使用时间:
2010/9/9 ( 1:27:36 )
启动项:
否
已启动:
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源
下载自 URL 不可用

来源: 外部介质源文件:
winrar.exe
文件创建日期:
ultimatecodes.exe
文件创建日期:
iravfx.exe

____________________________
文件操作
文件: c:\users\administrator\appdata\local\temp\iravfx.exe
已删除
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________

显示全部楼层 · 发表于 2010-9-10 16:47:31

沙盘NIS2011

类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作
2010-9-10 16:46,高,iravfx.exe (Trojan.Gen) 检测方 Auto-Protect,已阻止,已解决 - 不采取操作
类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作
2010-9-10 16:46,高,izqlfr[1].htm (Trojan.Gen) 检测方 Auto-Protect,已阻止,已解决 - 不采取操作
类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2010-9-10 16:46,高,SONAR 在 awtijouq.exe 中检测到可疑活动。您已选择将其允许。,允许访问,不需要操作,awtijouq.exe

显示全部楼层 · 发表于 2010-9-10 18:10:33

显示全部楼层 · 发表于 2010-9-10 18:26:35

显示全部楼层 · 发表于 2010-9-10 19:50:02

回复 1楼 牧羊老汉 的帖子

防病毒系统警告： ESET NOD32 Antivirus
侦测到安全威胁！

详情：

网页：
http://bbs.kafan.cn/forum.php?mo ... DQxMTkzODZ8NDI1Njg0

安全威胁：
Win32/TrojanDownloader.Small.OVG 特洛伊木马

描述：
此网页的访问已被ESET NOD32 Antivirus拦截。

显示全部楼层 · 发表于 2010-9-11 10:53:39

filseclab

TrojanPSW.LdPinch.aphy.mdjo

[病毒样本] UltimateCodes.exe(0908)