魔兽世界盗号木马一枚。

显示全部楼层 · 发表于 2011-6-3 15:06:47

运行红伞杀“TR/Crypt.XPACK.Gen2 [trojan]”

显示全部楼层 · 发表于 2011-6-3 15:12:57

三生缘石发表于 2011-6-3 15:04
忘记了，是infected

好了.谢谢

显示全部楼层 · 发表于 2011-6-3 15:22:50

QQ管家5.0开了4引擎，下载提示未知，明明金山云能查杀的

显示全部楼层 · 发表于 2011-6-3 16:20:46

to fs

显示全部楼层 · 发表于 2011-6-3 16:28:30

过kis2011

显示全部楼层 · 发表于 2011-6-3 19:04:00

双击卡巴2012过了什么反应都没有, 写入打印机服务,开机启动

显示全部楼层 · 发表于 2011-6-3 19:19:49

2011-6-3 19:15:52 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\virus test\密保未命名\未命名.exe
命令行: "D:\我的文档\virus test\密保未命名\未命名.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-6-3 19:15:53 创建文件允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: C:\111t.txt
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-3 19:15:56 创建新进程允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: d:\我的文档\virus test\密保未命名\未命名.exe
命令行: "D:\我的文档\virus test\密保未命名\未命名.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]d:\我的文档\*

2011-6-3 19:15:58 创建文件允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: C:\tmp.jpg
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-3 19:15:59 修改文件阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-3 19:15:59 修改文件阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-3 19:15:59 修改文件阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-3 19:15:59 修改文件阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-6-3 19:16:00 修改注册表值阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: D:\我的文档
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-3 19:16:01 修改注册表值阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-3 19:16:01 修改注册表值阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\9eyes.PPY\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-3 19:16:02 修改注册表值阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-3 19:16:04 创建新进程允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: f:\program files\acdsee\acdsee.exe
命令行: "f:\Program Files\ACDSee\ACDSee.exe" /dde
规则: [应用程序]*

2011-6-3 19:16:06 向其他进程发送消息允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: f:\program files\acdsee\acdsee.exe
消息: WM_DDE_EXECUTE
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [目标应用程序]?:\program files\*

2011-6-3 19:16:07 底层键盘操作阻止
进程: f:\program files\acdsee\acdsee.exe
规则: [应用程序组]设计程序 -> [应用程序]f:\program files\acdsee\acdsee.exe

2011-6-3 19:16:07 底层键盘操作阻止
进程: f:\program files\acdsee\acdsee.exe
规则: [应用程序组]设计程序 -> [应用程序]f:\program files\acdsee\acdsee.exe

2011-6-3 19:16:07 底层键盘操作阻止
进程: f:\program files\acdsee\acdsee.exe
规则: [应用程序组]设计程序 -> [应用程序]f:\program files\acdsee\acdsee.exe

2011-6-3 19:16:07 底层键盘操作阻止
进程: f:\program files\acdsee\acdsee.exe
规则: [应用程序组]设计程序 -> [应用程序]f:\program files\acdsee\acdsee.exe

2011-6-3 19:16:12 创建文件允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: C:\a2025890.exe
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-3 19:16:20 修改注册表值阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\9eyes.PPY\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-3 19:16:21 修改注册表值阻止
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\9eyes.PPY\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2011-6-3 19:16:23 创建新进程允许
进程: d:\我的文档\virus test\密保未命名\未命名.exe
目标: c:\a2025890.exe
命令行: "C:\a2025890.exe"
规则: [应用程序]*

2011-6-3 19:16:28 创建文件夹允许
进程: c:\a2025890.exe
目标: C:\Program Files\Common Files\Jjaa
规则: [文件组]全局写入询问 -> [文件]?:\program files\*

2011-6-3 19:16:31 创建文件阻止
进程: c:\a2025890.exe
目标: C:\bin.log
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-3 19:16:35 创建文件阻止
进程: c:\a2025890.exe
目标: C:\kb-2060968.tmp
规则: [文件组]文件阻止及保护 -> [文件]?:\

2011-6-3 19:16:37 创建新进程阻止
进程: c:\a2025890.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\windows\system32\rundll32.exe itf2
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\windows\*

2011-6-3 19:16:38 创建新进程阻止
进程: c:\a2025890.exe
目标: c:\windows\system32\sc.exe
命令行: sc stop w32time
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\sc.exe

2011-6-3 19:16:42 创建新进程阻止
进程: c:\a2025890.exe
目标: c:\windows\system32\sc.exe
命令行: sc config w32time start= auto
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\sc.exe

2011-6-3 19:16:42 创建新进程阻止
进程: c:\a2025890.exe
目标: c:\windows\system32\net.exe
命令行: net start w32time
规则: [应用程序组]系统程序 -> [应用程序]* -> [子应用程序]c:\windows\system32\net.exe

显示全部楼层 · 发表于 2011-6-3 19:32:00

360 SD Kill

显示全部楼层 · 发表于 2011-6-3 19:44:40

红伞杀

显示全部楼层 · 发表于 2011-6-3 20:29:25

本帖最后由 haol 于 2011-6-3 20:29 编辑

Dr.Web found Trojan.Siggen.64674

[病毒样本] 魔兽世界盗号木马一枚。