PDA

【病毒】[08-01-26]可疑樣本



贊助商連結

juijui
2008-01-26, 02:56 PM
過紅傘


2008-01-26 14:28:11 修改登錄檔內容 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
登錄檔名稱:SfcDisable
觸發規則:所有程序規則->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\Software\Microsoft\Windows\Currentversion\Policies*


2008-01-26 14:28:11 修改系統時間 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe

觸發規則:所有程序規則->*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\Software\Microsoft\Windows\Currentversion\Policies*


2008-01-26 14:28:11 建立檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\autorun.inf
觸發規則:黑名單->◆文件讀取規則◆->?:\autorun.inf


2008-01-26 14:28:11 建立檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\system32\_SYSTEM
觸發規則:所有程序規則->全局設置_普通模式->%SystemDrive%\*


2008-01-26 14:28:11 建立檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\system32\dllcache\Regedit.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2008-01-26 14:28:11 修改檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\Regedit.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2008-01-26 14:28:11 建立檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\system32\dllcache\cmd.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2008-01-26 14:28:11 修改檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\cmd.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2008-01-26 14:28:11 修改檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\system32\dllcache\ntsd.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2008-01-26 14:28:11 修改檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\ntsd.exe
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.exe


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSvc2.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSvc2.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSvc1.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:11 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSvc1.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysCheck.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysCheck.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwService.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwService.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwService.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwService.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fixtool.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fixtool.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\党葩馱撿.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:12 建立登錄檔值 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\党葩馱撿.exe
登錄檔名稱:[Key]
觸發規則:所有程序規則->其他重要項->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop srservice
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config srservice start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop KVWSC
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config KVWSC start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop SharedAccess
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config SharedAccess start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop KVSrvXP
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config KVSrvXP start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop KavSvc
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config KavSvc start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop RsRavMon
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config RsRavMon start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\net.exe
命令列:stop RsCCenter
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\net*.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config RsCCenter start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config AVP start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 執行應用程序 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\windows\System32\sc.exe
命令列:config RfwService start=disabled
觸發規則:所有程序規則->【禁止執行的程序】!->%windir%\system32\sc.exe


2008-01-26 14:28:13 修改檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\TMP
觸發規則:所有程序規則->需要保護的文件!->%SystemDrive%\*

2008-01-26 14:28:13 修改檔案 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
檔案路徑:C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\BACKUP\FAILSAFE\avewin32.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2008-01-26 14:28:13 修改系統時間 操作:阻止
程序路徑:C:\test\ww2[1]\ww.exe
觸發規則:所有程序規則->*

贊助商連結

kk_pczone
2008-01-26, 03:28 PM
ww.exe MALWARE

The file 'ww.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Overwriter.B. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.
juijui
2008-01-29, 01:41 AM
0000C000 0040C000 0 WTNE / MADE BY E COMPILER - WUTAO
0000C088 0040C088 0 krnln
0000C08E 0040C08E 0 d09f2340818511d396f6aaf844c7e325
0000C0C2 0040C0C2 0 EThread
0000C0CA 0040C0CA 0 5F99C1642A2F4e03850721B4F5D7C3F8
0000C109 0040C109 0 @const
0000C135 0040C135 0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SfcDisable
0000C176 0040C176 0 SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun
0000C1E5 0040C1E5 0 autorun.inf
0000C1F1 0040C1F1 0 windir
0000C1F8 0040C1F8 0 \system32\_SYSTEM
0000C20A 0040C20A 0 \Regedit.exe
0000C217 0040C217 0 \System32\cmd.exe
0000C229 0040C229 0 \System32\ntsd.exe
0000C23C 0040C23C 0 MPMon.exe
0000C246 0040C246 0 MPSvc2.exe
0000C251 0040C251 0 MPSvc1.exe
0000C25C 0040C25C 0 MPSvc.exe
0000C266 0040C266 0 avp.exe
0000C26E 0040C26E 0 avp.com
0000C276 0040C276 0 SysCheck.exe
0000C283 0040C283 0 RfwService.exe
0000C292 0040C292 0 RfwMain.exe
0000C29E 0040C29E 0 RavMonD.exe
0000C2AA 0040C2AA 0 RavMon.exe
0000C2B5 0040C2B5 0 CCenter.exe
0000C2C1 0040C2C1 0 Rav.exe
0000C2C9 0040C2C9 0 360safe.exe
0000C2D5 0040C2D5 0 fixtool.exe
0000C2EE 0040C2EE 0 \System32\net.exe stop srservice
0000C30F 0040C30F 0 \System32\sc.exe config srservice start=disabled
0000C340 0040C340 0 \System32\net.exe stop KVWSC
0000C35D 0040C35D 0 \System32\sc.exe config KVWSC start=disabled
0000C38A 0040C38A 0 \System32\net.exe stop SharedAccess
0000C3AE 0040C3AE 0 \System32\sc.exe config SharedAccess start=disabled
0000C3E2 0040C3E2 0 \System32\net.exe stop KVSrvXP
0000C401 0040C401 0 \System32\sc.exe config KVSrvXP start=disabled
0000C430 0040C430 0 \System32\net.exe stop KavSvc
0000C44E 0040C44E 0 \System32\sc.exe config KavSvc start=disabled
0000C47C 0040C47C 0 \System32\net.exe stop RsRavMon
0000C49C 0040C49C 0 \System32\sc.exe config RsRavMon start=disabled
0000C4CC 0040C4CC 0 \System32\net.exe stop RsCCenter
0000C4ED 0040C4ED 0 \System32\sc.exe config RsCCenter start=disabled
0000C51E 0040C51E 0 \System32\sc.exe config AVP start=disabled
0000C549 0040C549 0 \System32\sc.exe config RfwService start=disabled
0000C57F 0040C57F 0 ntldr
0000C585 0040C585 0 shellexcute
0000C591 0040C591 0 AutoRun
0000C599 0040C599 0 IceSword.exe
0000C5A6 0040C5A6 0 Microsoft\Infested\
0000C5BA 0040C5BA 0 \system32\dllcache\
0000C5DE 0040C5DE 0 \Debugger
0000C5E8 0040C5E8 0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
0000C633 0040C633 0 :\IceSword.exe
0000C642 0040C642 0 :\ntldr
0000C64A 0040C64A 0 :\TMP