求鉴定 1/43----->已鉴定为病毒,请大家及时上报

显示全部楼层 · 发表于 2011-3-19 15:42:15

微点主防报时间处理结果木马名称木马进程名木马文件创建者
2011-03-19 15:38:18 处理成功 Trojan.Win32.Agent.bijw C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\360SD\UNZIP\360RP\LEE~RAR\LEE.EXE E:\PROGRAM FILES\360\360SD\360NZP.EXE

显示全部楼层 · 发表于 2011-3-19 17:00:25

panda kill

显示全部楼层 · 发表于 2011-3-19 17:06:57

360卫士报未知

显示全部楼层 · 发表于 2011-3-19 17:38:11

这年头net stop一下就能算病毒。。

显示全部楼层 · 发表于 2011-3-19 19:17:38

KIS MISS

显示全部楼层 · 发表于 2011-3-19 19:50:01

结束杀软！创建用户名！打开3389！难道有人要入侵电脑？！

显示全部楼层 · 发表于 2011-3-19 20:00:59

回复 26楼 liulangzhecgr 的帖子

看hips的日志貌似是感染型病毒？

显示全部楼层 · 发表于 2011-3-19 20:49:06

本帖最后由 liulangzhecgr 于 2011-3-19 20:51 编辑

回复 27楼 zuo 的帖子

我是没有运行样本！
只是看5#eq日志！
不过eq 在文件修改判断很容易犯错误。。。听说读取内存上的文件误判为修改文件呢？！

---eq 的修改文件值得怀疑！

显示全部楼层 · 发表于 2011-3-20 13:35:42

2011-3-20 13:33:08 删除注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Program Files\WinRAR\WinRAR.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-3-20 13:33:08 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\LangID
值: 04 08
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-3-20 13:33:15 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cache

2011-3-20 13:33:16 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; Cookies

2011-3-20 13:33:16 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders; History

2011-3-20 13:33:17 删除注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Program Files\WinRAR\WinRAR.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-3-20 13:33:17 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\LangID
值: 04 08
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-3-20 13:33:17 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Program Files\Common Files\sm.bat
值: sm
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-3-20 13:33:17 创建新进程允许
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\Program Files\Common Files\sm.bat" "
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

2011-3-20 13:33:18 创建新进程阻止
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\net.exe
命令行: net stop sharedaccess
规则: [应用程序组]4D应用程序规则-系统进程执行规则 -> [应用程序]c:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\net.exe

2011-3-20 13:33:18 创建新进程阻止并结束进程
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\cacls.exe
命令行: cacls C:\WINDOWS\System32\Wscript.exe /e /t /g everyone:F
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\cacls.exe

2011-3-20 13:33:19 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\lee\lee.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\7ZSfx000.cmd
值: 7ZSfx000
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-3-20 13:33:21 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:22 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:23 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:24 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:24 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:25 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:26 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:26 删除文件阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

2011-3-20 13:33:27 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\lee\lee.exe
规则: [文件组]文件安全读写规则(询问修改、删除) -> [文件]*; *.exe

显示全部楼层 · 发表于 2011-3-20 13:48:28

回复 29楼 zuo 的帖子

看日志。。。没有看出违规！

疑问重重。。。

[病毒样本] 求鉴定 1/43----->已鉴定为病毒,请大家及时上报