【木馬】疑似木馬

520pk

大家掃看看

yutrump

引用:

作者: 520pk

大家掃看看

建議你先掃看看︰
http://www.virustotal.com/en/indexf.html

kick95

卡巴6.0.2.621
病毒碼2007/06/15
掃到Trojan-PSW.WIN32.OnLineGames.rb

hertw

Antivir 有查到：

TR/Crypt.NSPM.Gen

donjuan

16.06.2007 21:28:16 C:\DOWNLOADS\VIRUS\1.EXE infected Trojan-PSW.Win32.OnLineGames.rb
16.06.2007 21:28:18 C:\DOWNLOADS\VIRUS\1.EXE deleted Trojan-PSW.Win32.OnLineGames.rb

balberith

---------------------------------------------------------
_brand_ _product_ - Scan Report
---------------------------------------------------------
+ 建立時間: 下午 11:27:04 2007/6/16
+ 掃描結果:
C:\Documents and Settings\Administrator\桌面\FireDL\1.zip/1.exe -> Trojan.OnLineGames.rb : 已清除並備份(已隔離).
::報告結束

AVG Anti-Spyware 7.5掃到的0.0

sayhi2000

NDO32也有反應！
下載完即跳出警告視窗。

iorittn

panda沒反應，已回報，等明天的結果

Roger

運行1.exe，發現下列行為，被EQ-Secure RC3攔截！

引用:

2007-06-26 07:32:00 運行應用程序操作:允許
進程路徑:C:\windows\Explorer.EXE
文件路徑:D:\桌面\virus\520pk1\1.exe
規則:應用程序規則->系統程序->%windir%\Explorer.EXE

2007-06-26 07:32:00 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\ahjr.dll
規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll

2007-06-26 07:32:00 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*

2007-06-26 07:32:00 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*

2007-06-26 07:32:00 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*

2007-06-26 07:32:03 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*

2007-06-26 07:32:03 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*

2007-06-26 07:32:03 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Program Files\Windows Media Player\svchost.exe
規則:所有程序規則->保護安全軟體->C:\Program Files\*

2007-06-26 07:32:04 修改注冊表內容操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注冊表名稱:Userinit
注冊表數據:C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,
規則:所有程序規則->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

2007-06-26 07:32:04 創建文件操作:阻止
進程路徑:D:\桌面\virus\520pk1\1.exe
文件路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\$$cDB.tmp.bat
規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat

1.他會在C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\生成
ahjr.dll
2.他會在C:\Program Files\Windows Media Player\生成
svchost.exe
3.他會修改注冊表內容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,
4.他會在C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\生成
$$cDB.tmp.bat

kick95 會員	回覆: 【木馬】疑似木馬卡巴6.0.2.621 病毒碼2007/06/15 掃到Trojan-PSW.WIN32.OnLineGames.rb
	回覆

hertw 會員	回覆: 【木馬】疑似木馬 Antivir 有查到： TR/Crypt.NSPM.Gen
	回覆

donjuan 會員	回覆: 【木馬】疑似木馬 16.06.2007 21:28:16 C:\DOWNLOADS\VIRUS\1.EXE infected Trojan-PSW.Win32.OnLineGames.rb 16.06.2007 21:28:18 C:\DOWNLOADS\VIRUS\1.EXE deleted Trojan-PSW.Win32.OnLineGames.rb
	回覆

iorittn 會員	回覆: 【木馬】疑似木馬 panda沒反應，已回報，等明天的結果
	回覆