瑞星卡卡安全论坛技术交流区可疑文件交流 冒死下载分析疑似远控木马 高手快来分析下

1   1  /  1  页   跳转

冒死下载分析疑似远控木马 高手快来分析下

收藏
本主题由 版主 轩辕小聪 于 2008-8-10 18:35:44 执行 delposts 操作
nstar08
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-07-25
  • 来自:
发表于: 2008-08-08 16:33 | 只看楼主 短消息 资料
字号: 1楼

冒死下载分析疑似远控木马 高手快来分析下

木马名称:Backdoor/Win32.NetSpy.afe
路径:d:\SysRecorder\Recorder.exe
这事用360曾在这个软件查出的木马 因为不知道危害 我现在冒死又下载了 现上传分析 如果真的是远控木马 大家以后千万别下这个记录软件了
现在我还不能确定 快请高手来分析下 下面是网上的分析结果 有4个报有问题 摸凌两可 希望高手给看看 谢谢了:
反病毒引擎版本最后更新扫描结果
AhnLab-V32008.8.8.02008.08.08-
AntiVir7.8.1.192008.08.08-
Authentium5.1.0.42008.08.07-
Avast4.8.1195.02008.08.07-
AVG8.0.0.1562008.08.08-
BitDefender7.22008.08.08-
CAT-QuickHeal9.502008.08.08-
ClamAV0.93.12008.08.08-
DrWeb4.44.0.091702008.08.08-
eSafe7.0.17.02008.08.07-
eTrust-Vet31.6.60192008.08.08-
Ewido4.02008.08.07-
F-Prot4.4.4.562008.08.07-
F-Secure7.60.13501.02008.08.08-
Fortinet3.14.0.02008.08.08BDoor.N!tr.bdr
GData2.0.7306.10232008.08.08-
IkarusT3.1.1.34.02008.08.08-
K7AntiVirus7.10.4072008.08.07-
Kaspersky7.0.0.1252008.08.08-
McAfee53562008.08.07BackDoor-N
Microsoft1.38072008.08.08-
NOD32v233382008.08.07-
Norman5.80.022008.08.06-
Panda9.0.0.42008.08.07-
PCTools4.4.2.02008.08.07-
Prevx1V22008.08.08Suspicious
Rising20.56.32.002008.08.07-
Sophos4.32.02008.08.08-
Sunbelt3.1.1537.12008.08.07-
Symantec102008.08.08-
TheHacker6.2.96.3942008.08.08-
TrendMicro8.700.0.10042008.08.08-
VBA323.12.8.32008.08.07suspected of Win32 Shadow AutoStart Install
ViRobot2008.8.7.13282008.08.07-
VirusBuster4.5.11.02008.08.07-
Webwasher-Gateway6.6.22008.08.08-
附加信息
File size: 299533 bytes
MD5...: cea5b6408b231868ee86aaacba022117
SHA1..: 475091912979065994accbd76c35f175fb3c226e
SHA256: d3aa3974fc7efc735713e7e0edded592813b770b7fc04baf0f03c3640f7b9ed7
SHA512: 472e3bdf08fb0d27b27ff06dede65a12db983b658d03d32b786388951a707c13
ce6d38db32d60ea8c58a125bd44d84f499f45ff4758405f4c92dc2685bbbe38b
PEiD..: -
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogr ... 13DF5CE860038F2452C

附件附件:

您所在的用户组无法下载或查看附件

最后编辑nstar08 最后编辑于 2008-08-08 16:58:51
分享到:
gototop
 
1/2理想
头像
卡卡反病毒小组
  • 帖子:418
  • 注册: 2008-07-08
  • 来自:
发表于: 2008-08-08 17:06 | 短消息 资料
字号: 2楼

回复:冒死下载分析疑似远控木马 高手快来分析下

楼主能上传一份sre扫描的日志吗~步骤如下
1请楼主先使用windows清理助手清理一下系统。(未签名的那些不要选择删除)
在这里下载:http://www.arswp.com/download.html
打开清理助手=》更新到最新=》快速扫描=》处理 可清理对象和可卸载对象
2然后使用System Repair Engineer扫描日志,将日志作为附件上传上来。
在这里下载:http://www.kztechs.com/sreng/download.html

具体步骤:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击 智能扫描 - 扫描 ,扫描结束后点击 保存报告 ;
4、选择保存路径,文件名保持默认,直接点击 保存 ;
5、将“SREngLOG.log”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
gototop
 
nstar08
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-07-25
  • 来自:
发表于: 2008-08-08 17:16 | 只看楼主 短消息 资料
字号: 3楼

回复:冒死下载分析疑似远控木马 高手快来分析下

装了这个毫无问题现象 就是一款使用记录软件 解压就可用 无需安装 问题是会在注册表RUN创建启动项recorder  文件里有一个recorder.exe  而这类似一木马名 加上它本身有记录操作和截屏功能 误杀的可能有 但现在不肯定 你看上面是世界著名软件查杀的结果 基本主流的都没报毒 但也显示4个有问题 现在不好说 但误杀的可能比较大 你说的这个有点麻烦 没有简单的分析下的办法么 我压缩文件都上传了
gototop
 
1/2理想
头像
卡卡反病毒小组
  • 帖子:418
  • 注册: 2008-07-08
  • 来自:
发表于: 2008-08-08 19:17 | 短消息 资料
字号: 4楼

回复:冒死下载分析疑似远控木马 高手快来分析下

楼主既然 都 冒死下载分析疑似远控木马,保存一份sre日志肯定很有意义~!!
现在分析木马都用sre,不麻烦的,麻烦也不会有这么多人用了  5分钟就搞定了
gototop
 
RisingCSC
头像
在线技术支持工程师
  • 帖子:4368
  • 注册: 2008-02-26
  • 来自:
发表于: 2008-08-12 14:41 | 短消息 资料
字号: 5楼

回复:冒死下载分析疑似远控木马 高手快来分析下

1.文件名:Browser.exe
不是病毒


2.文件名:Recorder.exe
不是病毒


3.文件名:SysRecorder.cnt
不是病毒


4.文件名:SYSRECORDER.HLP
不是病毒
站内导航:
新人报道  |  反病毒/反流氓软件  |  RAV/RIS求助  |  RFW求助  |  卡卡助手求助
热点推荐:
RIS2009有奖征文  |  春节活动汇总
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT