qq好友自动发的文件“我的最新照片”，卡巴斯基扫描有病毒

frb11

qq好友自动传的，文件名“我的最新照片”，用卡巴斯基扫描有病毒，没有敢打开，见附件。

guihuasfw

红伞webguard报

z2665

nod32报

sunvensun

不用管报不报，一看就知道是病毒了

rasis

avira

Begin scan in 'D:\Download\我的最新照片.rar'
D:\Download\我的最新照片.rar
[0] Archive type: RAR
  [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan
--> ￎￒﾵￄￗ￮￐ￂￕￕￆﾬ.exe
  [DETECTION] Is the TR/Crypt.ULPM.Gen Trojan
    [NOTE]      The file was moved to quarantine directory and named 'b098992d.qua'!

左手

2010-11-18 14:05:21    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\test\我的最新照片.exe
目标: C:\WINDOWS\system32\lqcyc52.cyc
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:05:21    删除注册表项    阻止
进程: c:\documents and settings\administrator\桌面\test\我的最新照片.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
规则: [注册表]*

2010-11-18 14:05:21    删除注册表值    阻止
进程: c:\documents and settings\administrator\桌面\test\我的最新照片.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
规则: [注册表]*

2010-11-18 14:05:21    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\test\我的最新照片.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
值:
规则: [注册表]*

留侯

XD……加了三种壳，大蜘蛛报告：
=CE=D2=B5=C4=D7=EE=D0=C2=D5=D5=C6=AC.exe packed by PESTUB
>>/=CE=D2=B5=C4=D7=EE=D0=C2=D5=D5=C6=AC.exe packed by FLY-CODE
>>>/=CE=D2=B5=C4=D7=EE=D0=C2=D5=D5=C6=AC.exe packed by BINARYRES
>>>>=CE=D2=B5=C4=D7=EE=D0=C2=D5=D5=C6=AC.exe found virus Trojan.Siggen2.2610

hansyu

panda
Trj/CI.A

liulangzhecgr

2010-11-18 14:27:00    运行应用程序      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\我的最新照片\我的最新照片.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:27:10    创建文件      操作:允许
进程路径:E:\virus test\我的最新照片\我的最新照片.exe
文件路径:C:\WINDOWS\system32\lqcyc52.cyc
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:27:15    安装全局钩子      操作:允许
进程路径:E:\virus test\我的最新照片\我的最新照片.exe
文件路径:C:\WINDOWS\system32\lqcyc52.cyc
钩子类型:WH_GETMESSAGE
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:27:18    创建文件      操作:允许
进程路径:E:\virus test\我的最新照片\我的最新照片.exe
文件路径:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:27:30    运行应用程序      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:27:45    创建文件      操作:允许
进程路径:E:\virus test\我的最新照片\我的最新照片.exe
文件路径:C:\test.bat
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:28:02    运行应用程序      操作:允许
进程路径:E:\virus test\我的最新照片\我的最新照片.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c c:\test.bat
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:28:15    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:E:\virus test\我的最新照片\我的最新照片.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:28:28    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\test.bat
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:29:36    创建文件      操作:阻止
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\WINDOWS\boot.ini
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:29:53    运行应用程序      操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\WINDOWS\system32\dwwin.exe
命令行:-x -s 728
触发规则:所有程序规则->0-virus test->*


010-11-18 14:29:56    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\dwwin.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\71F45D.dmp
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:30:04    结束/挂起线程      操作:允许
进程路径:C:\WINDOWS\system32\dwwin.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:31:21    运行应用程序      操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\WINDOWS\system32\drwtsn32.exe
命令行:-p 1964 -e 152 -g
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:31:28    修改文件      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-18 14:31:38    修改其它进程内存      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:31:43    创建远程线程      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:31:50    结束/挂起线程      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:31:59    修改其它进程内存      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:32:00    结束/挂起线程      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:32:02    结束/挂起线程      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:32:04    结束/挂起线程      操作:允许
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


2010-11-18 14:32:12    修改其它进程内存      操作:阻止
进程路径:C:\WINDOWS\system32\drwtsn32.exe
目标进程:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->0-virus test->*


......

手动 阻止及结束进程。。。！

ppy0606

  avira kil

  


2010-11-18 14:56:52    c:\windows\explorer.exe    创建新进程    d:\我的文档\viurs test\我的最新照片\我的最新照片.exe    允许    [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*    命令行: "D:\我的文档\viurs test\我的最新照片\我的最新照片.exe"
2010-11-18 14:56:54    d:\我的文档\viurs test\我的最新照片\我的最新照片.exe    创建文件    C:\WINDOWS\system32\lqcyc52.cyc    阻止    [文件组]全局写入询问 -> [文件]c:\windows\*