[可疑文件] 2X

显示全部楼层 · 发表于 2010-9-25 15:31:13

Trj/CI.A x2

显示全部楼层 · 发表于 2010-9-25 15:36:29

to eset

http://samples.nod32.com.sg/inde ... c7c3c4995ebb513d5aa

显示全部楼层 · 发表于 2010-9-25 16:18:06

过红伞

显示全部楼层 · 发表于 2010-9-25 17:13:11

本帖最后由 liulangzhecgr 于 2010.9.25 17:31 编辑

毒霸可杀。。。

网盾修复：

第二个运行后自毁！

2010-09-25 16:13:41 应用程序保护已经开启.

2010-09-25 16:13:41 注册表保护已经开启.

2010-09-25 16:13:41 文件保护已经开启.

2010-09-25 16:14:02 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\downloads\04\pokesavbw_0_04_CHS.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:14:05 修改注册表内容    操作:允许
进程路径:E:\downloads\04\pokesavbw_0_04_CHS.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->测试->*

2010-09-25 16:38:39 应用程序保护已经开启.

2010-09-25 16:38:39 注册表保护已经开启.

2010-09-25 16:38:39 文件保护已经开启.

2010-09-25 16:38:55 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\downloads\2X\isyq.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:38:57 修改注册表内容    操作:允许
进程路径:E:\downloads\2X\isyq.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->测试->*

2010-09-25 16:39:28 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:39:29 修改注册表内容    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->测试->*

2010-09-25 16:39:31 创建文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Ivyq
触发规则:所有程序规则->测试->*

2010-09-25 16:39:32 创建文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:39:37 创建文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Pexi
触发规则:所有程序规则->测试->*

2010-09-25 16:39:40 创建文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Pexi\exiv.wug
触发规则:所有程序规则->测试->*

2010-09-25 16:39:41 创建注册表值    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Umxeyq
注册表名称:[Key]
触发规则:所有程序规则->测试->*

2010-09-25 16:39:48 修改文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:39:50 运行应用程序    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:39:52 修改注册表内容    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->测试->*

2010-09-25 16:39:56 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:02 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:21 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:30 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:31 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:33 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Pexi\exiv.tmp
触发规则:所有程序规则->测试->*

2010-09-25 16:41:41 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:44 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:52 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:41:53 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:05 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:08 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:14 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:16 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:23 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:24 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:27 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:30 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:33 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:37 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:41 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:43 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:52 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:42:56 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:04 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:09 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:13 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:20 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:23 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Cookies\administrator@bluekai[1].txt
触发规则:所有程序规则->测试->*

2010-09-25 16:43:26 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:31 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\YZUSKIYQ\webhp[1].htm
触发规则:所有程序规则->测试->*

2010-09-25 16:43:33 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:35 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Cookies\administrator@cnet[2].txt
触发规则:所有程序规则->测试->*

2010-09-25 16:43:38 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:41 创建文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\YZUSKIYQ\gat3[1].htm
触发规则:所有程序规则->测试->*

2010-09-25 16:43:42 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:44 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[1].txt
触发规则:所有程序规则->测试->*

2010-09-25 16:43:46 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:47 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\YZUSKIYQ\gat3[1].htm
触发规则:所有程序规则->测试->*

2010-09-25 16:43:49 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:50 删除文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Cookies\administrator@duba[1].txt
触发规则:所有程序规则->测试->*

2010-09-25 16:43:51 修改其它进程内存    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:53 创建远程线程    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:43:55 创建远程线程    操作:允许
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:44:07 修改其它进程内存    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe

2010-09-25 16:44:10 创建远程线程    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\explorer.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe

2010-09-25 16:45:23 修改其它进程内存    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:C:\Program Files\Kingsoft\webshield\kwstray.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:45:27 创建远程线程    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Ivyq\yrwu.exe
目标进程:C:\Program Files\Kingsoft\webshield\kwstray.exe
触发规则:所有程序规则->测试->*

2010-09-25 16:45:32 创建文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\tmpe9c71809.bat
触发规则:所有程序规则->测试->*

2010-09-25 16:45:33 修改文件    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\tmpe9c71809.bat
触发规则:所有程序规则->测试->*

2010-09-25 16:45:39 运行应用程序    操作:允许
进程路径:E:\downloads\2X\timeupdate1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpe9c71809.bat"
触发规则:所有程序规则->测试->*

2010-09-25 16:45:46 修改注册表内容    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->测试->*

2010-09-25 16:45:56 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:E:\downloads\2X\timeupdate1.exe
触发规则:所有程序规则->测试->*

显示全部楼层 · 发表于 2010-9-25 17:20:06

SEND TO AVIRA

显示全部楼层 · 发表于 2010-9-25 18:16:48

显示全部楼层 · 发表于 2010-9-25 19:28:45

2X.rar;已删除;Win32.Malware.Heur_Generic.A.(kcloud);2010-09-25 19: 27;

显示全部楼层 · 发表于 2010-9-25 22:35:06

过avg
金山卫士杀了2个

显示全部楼层 · 发表于 2010-9-26 01:46:39

[可疑文件] 2X

评分