可疑8X

显示全部楼层 · 发表于 2011-4-16 17:27:10

回复 1楼 Hantaool 的帖子

刚下下来Windowsdefender就杀掉了

显示全部楼层 · 发表于 2011-4-16 19:04:54

回复 16楼 5230 的帖子

服你……我09年注册就一直用到现在了，你才盗用呢

显示全部楼层 · 发表于 2011-4-16 21:30:59

Avira AntiVir Personal
报告文件日期: 2011年4月16日  21:23

正在扫描 2565553 个病毒变种和恶意程序。

程序正以无限制的完整版的形式运行。
可以使用在线服务:

被许可人       : Avira AntiVir Personal - FREE Antivirus
序列号       : 0000149996-ADJIE-0000001
平台          : Windows XP
Windows 版本 : (Service Pack 3)  [5.1.2600]
启动模式       : 已正常启动
用户名       : Administrator
计算机名称       : PC2011032014HPX

版本信息:
BUILD.DAT : 10.0.0.40    31820 Bytes 2011-3-7 16:13:00
AVSCAN.EXE : 10.0.3.5    435368 Bytes 2011-3-4 06:43:15
AVSCAN.DLL : 10.0.3.0    20328 Bytes 2011-3-4 06:43:39
LUKE.DLL    : 10.0.3.2    104296 Bytes 2011-3-4 06:43:25
LUKERES.DLL  : 10.0.0.1    10088 Bytes 2010-3-12 07:38:37
VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009-11-6 01:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes  2010-12-14 06:43:34
VBASE002.VDF : 7.11.3.0    1950720 Bytes 2011-2-9 06:43:35
VBASE003.VDF : 7.11.5.225 1980416 Bytes 2011-4-7 10:25:13
VBASE004.VDF : 7.11.5.226    2048 Bytes 2011-4-7 10:25:14
VBASE005.VDF : 7.11.5.227    2048 Bytes 2011-4-7 10:25:14
VBASE006.VDF : 7.11.5.228    2048 Bytes 2011-4-7 10:25:14
VBASE007.VDF : 7.11.5.229    2048 Bytes 2011-4-7 10:25:14
VBASE008.VDF : 7.11.5.230    2048 Bytes 2011-4-7 10:25:14
VBASE009.VDF : 7.11.5.231    2048 Bytes 2011-4-7 10:25:14
VBASE010.VDF : 7.11.5.232    2048 Bytes 2011-4-7 10:25:15
VBASE011.VDF : 7.11.5.233    2048 Bytes 2011-4-7 10:25:15
VBASE012.VDF : 7.11.5.234    2048 Bytes 2011-4-7 10:25:15
VBASE013.VDF : 7.11.6.28    158208 Bytes 2011-4-11 10:25:15
VBASE014.VDF : 7.11.6.74    116224 Bytes 2011-4-13 10:25:16
VBASE015.VDF : 7.11.6.113 137728 Bytes 2011-4-14 10:25:17
VBASE016.VDF : 7.11.6.114    2048 Bytes 2011-4-14 10:25:17
VBASE017.VDF : 7.11.6.115    2048 Bytes 2011-4-14 10:25:17
VBASE018.VDF : 7.11.6.116    2048 Bytes 2011-4-14 10:25:17
VBASE019.VDF : 7.11.6.117    2048 Bytes 2011-4-14 10:25:18
VBASE020.VDF : 7.11.6.118    2048 Bytes 2011-4-14 10:25:18
VBASE021.VDF : 7.11.6.119    2048 Bytes 2011-4-14 10:25:18
VBASE022.VDF : 7.11.6.120    2048 Bytes 2011-4-14 10:25:18
VBASE023.VDF : 7.11.6.121    2048 Bytes 2011-4-14 10:25:18
VBASE024.VDF : 7.11.6.122    2048 Bytes 2011-4-14 10:25:18
VBASE025.VDF : 7.11.6.123    2048 Bytes 2011-4-14 10:25:19
VBASE026.VDF : 7.11.6.124    2048 Bytes 2011-4-14 10:25:19
VBASE027.VDF : 7.11.6.125    2048 Bytes 2011-4-14 10:25:19
VBASE028.VDF : 7.11.6.126    2048 Bytes 2011-4-14 10:25:19
VBASE029.VDF : 7.11.6.127    2048 Bytes 2011-4-14 10:25:20
VBASE030.VDF : 7.11.6.128    2048 Bytes 2011-4-14 10:25:20
VBASE031.VDF : 7.11.6.143    70144 Bytes 2011-4-15 10:25:20
引擎版本       : 8.2.4.208
AEVDF.DLL : 8.1.2.1    106868 Bytes 2011-3-4 06:43:12
AESCRIPT.DLL : 8.1.3.58    1266042 Bytes 2011-4-16 10:25:31
AESCN.DLL : 8.1.7.2    127349 Bytes 2011-3-4 06:43:11
AESBX.DLL : 8.1.3.2    254324 Bytes 2011-3-4 06:43:11
AERDL.DLL : 8.1.9.9    639347 Bytes 2011-4-16 10:25:30
AEPACK.DLL : 8.2.6.0    549237 Bytes 2011-4-16 10:25:29
AEOFFICE.DLL : 8.1.1.20    205177 Bytes 2011-4-16 10:25:28
AEHEUR.DLL : 8.1.2.98    3441014 Bytes 2011-4-16 10:25:27
AEHELP.DLL : 8.1.16.1    246134 Bytes 2011-3-4 06:43:03
AEGEN.DLL : 8.1.5.4    397684 Bytes 2011-4-16 10:25:23
AEEMU.DLL : 8.1.3.0    393589 Bytes 2011-3-4 06:43:02
AECORE.DLL : 8.1.20.2    196982 Bytes 2011-4-16 10:25:21
AEBB.DLL    : 8.1.1.0       53618 Bytes 2011-3-4 06:43:01
AVWINLL.DLL  : 10.0.0.0    19304 Bytes 2011-3-4 06:43:16
AVPREF.DLL : 10.0.0.0    44904 Bytes 2011-3-4 06:43:15
AVREP.DLL : 10.0.0.8    62209 Bytes 2010-6-17 06:29:46
AVREG.DLL : 10.0.3.2    53096 Bytes 2011-3-4 06:43:15
AVSCPLR.DLL  : 10.0.3.2    84328 Bytes 2011-3-4 06:43:15
AVARKT.DLL : 10.0.22.6    231784 Bytes 2011-3-4 06:43:13
AVEVTLOG.DLL : 10.0.0.8    203112 Bytes 2011-3-4 06:43:14
SQLITE3.DLL  : 3.6.19.0    355688 Bytes 2010-6-17 06:29:55
AVSMTP.DLL : 10.0.0.17    63848 Bytes 2011-3-4 06:43:16
NETNT.DLL : 10.0.0.0    11624 Bytes 2010-6-17 06:29:54
RCIMAGE.DLL  : 10.0.0.26 2550120 Bytes 2010-2-16 01:50:25
RCTEXT.DLL : 10.0.58.3    91496 Bytes 2011-3-4 06:43:40

扫描的配置设置:
作业名称...........: ShlExt
配置文件...........: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cc2c417a.avp
日志记录...........: 低
主操作............: 交互式
辅助操作...........: 忽略
扫描主启动扇区........: 打开
扫描启动扇区.........: 打开
启动扇区...........: F:,
进程扫描...........: 关闭
扫描注册表..........: 关闭
搜索 Rootkit.....: 关闭
系统文件完整性检查......: 关闭
扫描所有文件.........: 智能文件选择
扫描存档...........: 打开
递归深度...........: 20
智能扩展...........: 打开
宏启发式...........: 打开
文件启发式..........: 中

扫描开始时间: 2011年4月16日  21:23

正在启动文件扫描:

开始在“F:\360Downloads\衍生物.rar”中扫描
F:\360Downloads\衍生物.rar
[0] 存档类型: RAR
  [检测]       是 TR/ATRAPS.Gen 特洛伊木马
--> 2.dll
  [检测]       是 TR/ATRAPS.Gen 特洛伊木马
--> Cao.ime
  [检测]       是 TR/PSW.Online.53248 特洛伊木马

开始杀毒:
F:\360Downloads\衍生物.rar
[检测]       是 TR/PSW.Online.53248 特洛伊木马
[注意]       文件已被移到隔离目录中，文件名为“cbcea943.qua”。

扫描结束时间: 2011年4月16日  21:25
已用时间: 00:00 分钟

扫描完毕。

   0 已扫描目录
   4 已扫描文件
   2 发现病毒和/或恶意程序
   0 文件被划定为可疑
   0 个文件已删除
   0 病毒和恶意程序已修复
   1 文件已移到隔离区
   0 文件已重命名
   0 无法扫描的文件
   2 不关心的文件
   1 存档已扫描
   0 警告
   1 说明

显示全部楼层 · 发表于 2011-4-16 23:32:59

毒霸杀八个

显示全部楼层 · 发表于 2011-4-17 05:39:11

本帖最后由小飞侠.net 于 2011-4-17 05:44 编辑

可疑文件扫描报告
----------------------
文件名:  衍生物.rar
文件大小: 311593 字节 (304.29 KB)
修改日期: 2011-04-17 05:25
MD5: a79c1038cd92568f5778b87f56ca7d81
SHA1: 96800c5dc206d840ae7b11656dca5304e067a045
SHA256: 0a302b160bcb29e2e127dec052f95ba99e1c10b39067867cdb0870c973f3c2be
CRC32: b462dcf2

文件名:  8X.rar
文件大小: 326415 字节 (318.76 KB)
修改日期: 2011-04-17 05:25
MD5: 812f2eeb4fe452ccbe69db1b96990ec8
SHA1: 830a2d2d0c04387cb0f671a9da404cbbee16801e
SHA256: a9e6b29bb7b81b25888aef9a996d75f4425efd2ffe7a9b78521fbf9fa3f90678
CRC32: 5de7281f

----------------------
360杀毒2（BitDefender+QVM+Rootkit+云）：
病毒扫描结果
----------------------
8X.rar=>clientex.exe 可疑木马(Trojan.Generic.5564724) 未处理
8X.rar=>DeskTop.exe 可疑木马(Trojan.Generic.5564724) 未处理
8X.rar=>icwconn2.exe 感染型病毒(Win32.Patched.Mebratix.A) 未处理
8X.rar=>mplayer2.exe 感染型病毒(Win32.Patched.Mebratix.A) 未处理
8X.rar=>My.exe 可疑木马(Trojan.Generic.5564724) 未处理
8X.rar=>ie.exe 可疑木马(Trojan.Generic.1196628) 未处理
8X.rar=>test.exe 木马程序(Gen:Trojan.Heur.GZ.emW@bqdOUon) 未处理
衍生物.rar=>2.dll 可疑木马(Trojan.Generic.KDV.126122) 未处理
衍生物.rar=>Drver.sys 蠕虫病毒(Worm.Generic.78574) 未处理
衍生物.rar=>system.dll 可疑木马(Trojan.Generic.2499628) 未处理

安天防线7（启发式+云+Rootkit）：
[2011-04-17 05:31:23]    8X.rar/ie.exe 木马程序(trojan/win32.delf.aqt[downloader]) 未处理
[2011-04-17 05:31:23]    8X.rar/test.exe 木马程序(trojan/win32.agent.gcax[downloader]) 未处理
[2011-04-17 05:31:23]    衍生物.rar/2.dll 恶意程序(hacktool/win32.sniffer.wpepro.hqx) 未处理
[2011-04-17 05:31:23]    衍生物.rar/Cao.ime 木马程序(trojan/win32.onlinegames.bngp[gamethief]) 未处理
[2011-04-17 05:31:23]    衍生物.rar/Drver.sys 木马程序(trojan/win32.agent.nfi[rootkit]) 未处理
[2011-04-17 05:31:23]    衍生物.rar/system.dll 木马程序(trojan/win32.small.kac[downloader]) 未处理

----------------------
本地病毒库最后更新时间：2011-4-17 5:41

显示全部楼层 · 发表于 2011-4-17 10:03:30

2011-04-17 09:56:25 创建文件    操作:允许
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\WINDOWS\system32\clientex.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2011-04-17 09:56:25 创建文件    操作:允许
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\iexplore.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2011-04-17 09:56:25 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Internet Explorer\*

2011-04-17 09:56:28 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe

2011-04-17 09:56:28 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-04-17 09:56:29 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Speech\sapisvr.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwconn2.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwrmind.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\inetwiz.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\isignup.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-04-17 09:56:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Internet Explorer\iedw.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Internet Explorer\*

2011-04-17 09:57:18 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Messenger\msmsgs.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Messenger\*

2011-04-17 09:57:18 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Movie Maker\moviemk.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Movie Maker\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\NetMeeting\cb32.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\NetMeeting\conf.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\NetMeeting\wb32.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Outlook Express\msimn.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Outlook Express\oemig50.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Outlook Express\setup50.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Outlook Express\wab.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-04-17 09:57:19 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Outlook Express\wabmig.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-04-17 09:57:24 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\migrate.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:28 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\mplayer2.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:30 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\setup_wm.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:32 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\wmlaunch.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:34 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\wmpenc.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:35 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\wmplayer.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:36 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows Media Player\wmsetsdk.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows Media Player\*

2011-04-17 09:57:37 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows NT\Accessories\Imegen.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows NT\*

2011-04-17 09:57:37 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows NT\Accessories\wordpad.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows NT\*

2011-04-17 09:57:37 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows NT\dialer.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows NT\*

2011-04-17 09:57:37 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows NT\hypertrm.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows NT\*

2011-04-17 09:57:37 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\Windows NT\Pinball\PINBALL.EXE
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Windows NT\*

2011-04-17 09:57:39 修改文件    操作:阻止
进程路径:F:\virus\8X\DeskTop.exe
文件路径:C:\Program Files\xx有线宽带登陆\update\load.exe
触发规则:所有程序规则->白名单与黑名单->*\load.exe

2011-04-17 09:57:45 修改文件    操作:允许
进程路径:F:\virus\8X\DeskTop.exe
文件路径:F:\virus\8X\DeskTop.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-04-17 09:57:48 修改文件    操作:允许
进程路径:F:\virus\8X\DeskTop.exe
文件路径:F:\virus\8X\DeskTop.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

显示全部楼层 · 发表于 2011-4-17 10:05:11

2011-04-17 10:02:48 创建文件    操作:阻止
进程路径:F:\virus\8X\ie.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-04-17 10:02:48 创建文件    操作:阻止
进程路径:F:\virus\8X\ie.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-04-17 10:02:48 创建文件    操作:阻止
进程路径:F:\virus\8X\ie.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-04-17 10:02:48 修改注册表内容    操作:阻止
进程路径:F:\virus\8X\ie.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
更改后:Explorer.exe C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe
更改前:Explorer.exe
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

显示全部楼层 · 发表于 2011-4-17 10:17:33

2011-04-17 10:15:04 创建文件    操作:允许
进程路径:F:\virus\8X\test.exe
文件路径:C:\windows\system32\test.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2011-04-17 10:15:05 运行应用程序    操作:允许
进程路径:F:\virus\8X\test.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\del.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-17 10:15:06 创建注册表值    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\test.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:test
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-04-17 10:15:08 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\8x\test.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

显示全部楼层 · 发表于 2011-4-17 22:55:25

20110417 145156 文件"R:\temp\Rar$DR00.424\clientex.exe"属于病毒/间谍软件 'Mal/Wintrim-E'。
20110417 145156 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR00.424\clientex.exe"。
20110417 145200 文件"R:\temp\Rar$DR00.424\DeskTop.exe"属于病毒/间谍软件 'Mal/Wintrim-E'。
20110417 145200 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR00.424\DeskTop.exe"。
20110417 145203 文件"R:\temp\Rar$DR00.424\My.exe"属于病毒/间谍软件 'Mal/Wintrim-E'。
20110417 145203 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR00.424\My.exe"。
20110417 145207 在 "R:\temp\Rar$DR00.424\ie.exe" 中检测到病毒/间谍软件 'Mal/DownLdr-M' 。
20110417 145207 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR00.424\ie.exe"。
20110417 145246 文件"R:\temp\Rar$DR13.128\Cao.ime"属于病毒/间谍软件 'Mal/PWS-AZ'。
20110417 145246 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR13.128\Cao.ime"。
20110417 145248 文件"R:\temp\Rar$DR13.128\Drver.sys"属于病毒/间谍软件 'Mal/Generic-L'。
20110417 145248 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR13.128\Drver.sys"。
20110417 145251 文件"R:\temp\Rar$DR13.128\system.dll"属于病毒/间谍软件 'Troj/DwnLdr-HXC'。
20110417 145251 读写扫描程序拒绝为用户 1-PC\1 访问路径 "R:\temp\Rar$DR13.128\system.dll"。

[病毒样本] 可疑8X