可幫我看一下這個檔是病毒嗎？  passwork:virus

McAfee miss

avast home miss左

Kaspersky 7.0.0.125
一開始說沒事
啟發式偵測到
特洛伊木馬程式 Trojan-Downloader.Win32.Delf.cuf
特洛伊木馬程式 Backdoor.Win32.Ceckno.em

他真是一隻邪惡的病毒
要打開偵測的到

會創建註冊表以及目錄並生成檔案
CreateFile        C:\2.hiv
CreateRegValue        \REGISTRY\USER\S-1-5-21-1614895754-1343024091-682003330-500\Software\nt\ctfmon
CreateRegKey        \REGISTRY\USER\S-1-5-21-1614895754-1343024091-682003330-500\Software\nt
CreateFile        C:\1.hiv
CreateFile        C:\Documents and Settings\All Users\Favorites\netservice.exe
CreateFile        C:\Documents and Settings\All Users\Favorites\plugin\001.dll
CreateDir        C:\Documents and Settings\All Users\Favorites\plugin\
CreateRegValue        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\cover
CreateRegValue        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\netinfo
ModifyRegValue        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Favorites
ModifyRegValue        \REGISTRY\USER\S-1-5-21-1614895754-1343024091-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6af0e80-5be0-11dc-ac31-806d6172696f}\BaseClass
ModifyRegValue        \REGISTRY\USER\S-1-5-21-1614895754-1343024091-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6af0e81-5be0-11dc-ac31-806d6172696f}\BaseClass
ModifyRegValue        \REGISTRY\USER\S-1-5-21-1614895754-1343024091-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b6af0e83-5be0-11dc-ac31-806d6172696f}\BaseClass








C:\WINDOWS\system32\dsnpstd3.dll        52 KB        2007/5/25 ¤W¤È 12:04:16        2004/6/15 ¤U¤È 03:18:42        1, 1, 0, 1                       
C:\WINDOWS\system32\comctl32.dll        615 KB        2004/7/12 ¤W¤È 08:00:00        2006/8/25 ¤U¤È 11:49:37        5.82 (xpsp.060825-0040)        Microsoft Corporation        Common Controls Library
C:\WINDOWS\system32\wininet.dll        650 KB        2004/7/12 ¤W¤È 08:00:00        2007/6/26 ¤U¤È 10:13:16        6.00.2900.3164 (xpsp_sp2_gdr.070626-1259)        Microsoft Corporation        Internet Extensions for Win32






肯定有問題...
想要遠離病毒請不要使用這些來路不明的破解以及外掛程式

BD 10:

引用:

File c:\docume~1\\locals~1\temp\rar$dr00.407\8.02\8.02.scr=](RAR Sfx o)=]VK.exe
infected with Dropped:Trojan.Agent.AFTX

嗨，樓主！

把檔名改為*.rar，再解開，就可以得到真檔了

使用COMODO要注意，COMODO並沒有把"安裝服務"設一個攔截項，

只能靠COM的"安裝服務或驅動的權限"來攔截！

還有，Active Process List 中的程序，無法分辨是用什麼服務，我是靠EQ找PID的

那個HIV技術的登錄檔，我正在找RD規則來攔他，下面沒攔到！
















[ 本帖最後由 Roger 於 2007-11-25 14:12 編輯 ]

TM   
上報
等待回復

nod32 found         probably a variant of Win32/Genetik

McAfee and SEP miss

引用:

原帖由 Roger 於 2007-11-25 13:25 發表
嗨，樓主！

把檔名改為*.rar，再解開，就可以得到真檔了

avast 都係check唔到

Avira AntiVir：
BAK.EXE is the Trojan horse "TR/Drop.VB.VD"
VK.exe contains a detection pattern of the (dangerous) backdoor program "BDS/Ceckno.JM" Backdoor server programs