請大家掃一下

贊助商連結

病毒。。。。
=========
Portable Kaspersky Anti-Virus Scanner 3.0 Log File at 06/30/2007 03:41:05 AM
Memory ok.
c:\downlo~7\virus-~1.rar archive: RarSFX
c:\downlo~7\virus-~1.rar/data.rar archive: RAR
c:\downlo~7\virus-~1.rar/data.rar/archive comment ok.
c:\downlo~7\virus-~1.rar/data.rar/2.sfx.exe archive: RarSFX
c:\downlo~7\virus-~1.rar/data.rar/2.sfx.exe/data.rar archive: RAR
c:\downlo~7\virus-~1.rar/data.rar/2.sfx.exe/data.rar/archive comment ok.
c:\downlo~7\virus-~1.rar/data.rar/2.sfx.exe/data.rar/2.exe infected: Trojan-PSW.Win32.OnLineGames.ru
c:\downlo~7\virus-~1.rar/data.rar/¦BÑ~¦í½++q¡++8.txt ok.

Scan process completed.

Scan Details :

Sectors : 0
Files : 8
Folders : 0
Archives: 4
Packed : 0

Found Details :

Known Viruses : 1
Virus Bodies : 1
Disinfected : 0
Deleted : 0
Warnings : 0
Suspicious : 0
Corrupted : 0
Can't Access I/O Error: 0

antivir

Begin scan in 'C:\Documents and Settings\kk\桌面\adad.rar'
C:\Documents and Settings\kk\桌面\adad.rar
[0] Archive type: RAR SFX (self extracting)
--> 2.sfx.exe
[1] Archive type: RAR SFX (self extracting)
--> 2.exe
[DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
[WARNING] The file was ignored!


End of the scan: 2007年6月30日 06:29
Used time: 00:04 min

NOD32沒反應！

運行2.exe，發現下列行為，被EQ-Secure RC3攔截！

2007-07-03 07:38:47 運行應用程序 操作:允許
進程路徑:C:\windows\Explorer.EXE
文件路徑:D:\桌面\virus\adad\2.sfx\2.exe
規則:應用程序規則->系統程序->%windir%\Explorer.EXE


2007-07-03 07:38:47 創建文件 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*


2007-07-03 07:38:47 創建文件 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*


2007-07-03 07:38:48 創建文件 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*


2007-07-03 07:38:50 創建文件 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*


2007-07-03 07:38:50 創建文件 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*


2007-07-03 07:38:50 創建文件 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*


2007-07-03 07:38:50 修改注冊表內容 操作:阻止
進程路徑:D:\桌面\virus\adad\2.sfx\2.exe
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注冊表名稱:Userinit
注冊表數據:C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,
規則:所有程序規則->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*


1.他會在C:\Program Files\Windows Media Player\生成
svchost.exe
2.他會修改注冊表內容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,

我把2.exe在sandboxie下的生成物上傳，供大家測試:)