小病毒 101223 密码：1

fatezero

KIS
检测到威胁: Trojan-Dropper.Win32.Vedio.dgs        E:\download\333\ccc.exe               
检测到威胁: Trojan-Dropper.Win32.Vedio.dgs        E:\download\333\bbb.exe       

1X TO KL       

F-secure2009

回复 8楼 留侯 的帖子

你测了我就不测了

留侯

回复 12楼 F-secure2009 的帖子

呵呵……

zls156

郁闷。过小红伞了

hansyu

avast!
aaa.exe - Win32:KillAV-NU[Drp]
bbb.exe - Win32:Crypt-HYE[Trj]
ccc.exe - Win32:Crypt-HYE[Trj]

猪头无双

开始在“C:\Users\Administrator\Downloads\333”中扫描
C:\Users\Administrator\Downloads\333\333\aaa.exe
  [检测]        是 TR/Crypt.ZPACK.Gen 特洛伊木马
--> Object
  [检测]        是 TR/Crypt.ZPACK.Gen 特洛伊木马
C:\Users\Administrator\Downloads\333\333\bbb.exe
    [检测]        是 TR/Dropper.Gen 特洛伊木马
C:\Users\Administrator\Downloads\333\333\ccc.exe
    [检测]        是 TR/Crypt.ZPACK.Gen 特洛伊木马

ljy881227

aaa.exe行为
2010-12-23 19:58:00    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\share\333\333\aaa.exe
命令行: "C:\share\333\333\aaa.exe"
规则: [应用程序]*

2010-12-23 19:58:00    创建文件    允许
进程: c:\share\333\333\aaa.exe
目标: C:\Program Files\Common Files\realteck\feoidq.pif
规则: [文件组]所有执行文件 -> [文件]*; *.pif

2010-12-23 19:58:04    设置文件隐藏属性    允许
进程: c:\share\333\333\aaa.exe
目标: C:\share\333\333\aaa.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2010-12-23 19:58:16    创建注册表项    允许
进程: c:\share\333\333\aaa.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0210804
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\*

2010-12-23 19:58:24    修改其他进程的内存    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2010-12-23 19:58:25    创建新进程    允许
进程: c:\share\333\333\aaa.exe
目标: c:\windows\explorer.exe
命令行: "C:\WINDOWS\explorer.exe"
规则: [应用程序]*

2010-12-23 19:58:26    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auzc
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2010-12-23 19:58:26    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auzc\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2010-12-23 19:58:27    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\auzc\ImagePath
值: \??\C:\WINDOWS\system\VvUu.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2010-12-23 19:58:27    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system\vvuu.sys
规则: [应用程序]c:\windows\system32\services.exe
2010-12-23 19:59:46    访问网络    允许
进程: c:\program files\common files\%sessionname%\conlme.exe
目标: UDP [本机 : 1039] ->  [127.0.0.1 : 1039]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-23 19:59:46    访问网络    允许
进程: c:\program files\common files\%sessionname%\conlme.exe
目标: TCP [本机 : 1040] ->  [219.134.132.88 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

ljy881227

bbb.exe行为
2010-12-23 20:01:32    安装全局消息钩子    允许
进程: c:\share\333\333\bbb.exe
目标: c:\documents and settings\administrator\local settings\temp\kb472193.sve
钩子类型: WH_GETMESSAGE
规则: [应用程序]*

2010-12-23 20:01:33    访问网络    允许
进程: c:\program files\common files\%sessionname%\conlme.exe
目标: TCP [本机 : 1048] ->  [192.168.80.5 : 445 (microsoft-ds)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-12-23 20:01:54    访问网络    允许
进程: c:\program files\common files\%sessionname%\conlme.exe
目标: TCP [本机 : 1049] ->  [192.168.80.6 : 445 (microsoft-ds)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

hulua

nod32秒杀

littlefritz

MPAV :missed aaa.exe
           missed bbb.exe
To MPAV
MPAV:ccc.exe            Drp.W32.Vedio.l