是病毒呢不是病毒呢。..

显示全部楼层 · 发表于 2010-12-10 22:28:33

小A给力了~~~

显示全部楼层 · 发表于 2010-12-10 22:39:45

已上報趨勢嚕~

显示全部楼层 · 发表于 2010-12-10 23:52:17

GDATA的B引擎就是avast4.8哇

显示全部楼层 · 发表于 2010-12-11 00:16:29

系统中毒了，有些软件就失效了

显示全部楼层 · 发表于 2010-12-11 09:39:47

AVG Identity Protection Blocked......

显示全部楼层 · 发表于 2010-12-11 10:18:08

是病毒吗？360SD 没报哦

显示全部楼层 · 发表于 2010-12-11 10:21:25

回复 9楼 lomo 的帖子

我们收到了以下存档文件:

文件 ID 文件名大小(字节) 结果
25978274  xviewer.rar 15.41 KB OK

以下位置提供了存档中包含的文件及其结果的列表:

文件 ID 文件名大小(字节) 结果
25978275  xviewer.exe  48 KB  MALWARE

下面提供了与每个样本相关的详细报告:

文件名结果
xviewer.exe  MALWARE

已确定“xviewer.exe”文件是“MALWARE”。我们的分析人员将这种威胁命名为“TR/Agent.cic”。术语“TR/”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。通过接下来的某次更新，我们的病毒定义文件(VDF)中将添加这项检测。

显示全部楼层 · 发表于 2010-12-11 11:29:01

2010-12-11 11:27:33 创建文件夹阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: C:\WINDOWS\mspack32
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\windows

2010-12-11 11:27:33 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache

2010-12-11 11:27:34 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies

2010-12-11 11:27:34 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; History

2010-12-11 11:27:35 从其他进程复制句柄阻止
进程: c:\windows\system32\svchost.exe
目标: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
句柄: (Key) \REGISTRY\USER\S-1-5-21-57989841-842925246-854245398-500\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
规则: [应用程序]c:\windows\system32\svchost.exe

2010-12-11 11:27:35 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1241] ->  [202.102.110.204 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:35 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1242] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:36 创建新进程阻止
进程: c:\windows\system32\at.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2010-12-11 11:27:36 安装全局消息钩子阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: c:\documents and settings\administrator\桌面\mspack32\mspack32\safedll.dll
钩子类型: WH_GETMESSAGE
规则: [应用程序组]所有程序规则-应用程序扩展规则 -> [应用程序]* -> [钩子模块]*\*documents*\*.dll

2010-12-11 11:27:36 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /F /T /IM xviewer.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\taskkill.exe

2010-12-11 11:27:37 创建文件夹阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: C:\WINDOWS\mspack32
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\windows

2010-12-11 11:27:37 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1243] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:37 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1244] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:38 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1245] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:39 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1246] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:39 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1247] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:40 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1248] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:41 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1249] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:42 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\winloads.exe
目标: TCP [本机 : 1250] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:48 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\xupdate.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache

2010-12-11 11:27:48 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\xupdate.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies

2010-12-11 11:27:49 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\xupdate.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; History

2010-12-11 11:27:49 从其他进程复制句柄阻止
进程: c:\windows\system32\svchost.exe
目标: c:\documents and settings\administrator\桌面\mspack32\mspack32\xupdate.exe
句柄: (Key) \REGISTRY\USER\S-1-5-21-57989841-842925246-854245398-500\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
规则: [应用程序]c:\windows\system32\svchost.exe

2010-12-11 11:27:49 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\xupdate.exe
目标: TCP [本机 : 1252] ->  [202.102.110.204 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-11 11:27:49 访问网络阻止
进程: c:\documents and settings\administrator\桌面\mspack32\mspack32\xupdate.exe
目标: TCP [本机 : 1253] ->  [122.228.236.172 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2010-12-11 11:46:06

avast!
Win32:Malware-gen (0)

显示全部楼层 · 发表于 2010-12-11 12:38:58

回复 18楼 zuo 的帖子

什么工具分析的？

[病毒样本] 是病毒呢不是病毒呢。..

本帖子中包含更多资源

[病毒样本] 是病毒呢 不是病毒呢。..

本帖子中包含更多资源

[病毒样本] 是病毒呢不是病毒呢。..