VirSCAN VirSCAN

1, คุณสามารถอัพโหลดไฟล์ไดๆก็ได้ที่มีขนาดไม่ใหญ่กว่า 20 เมกกะไบต์
2, VirSCAN สามารถสแกนไฟล์ที่ถูกบีบอัดในรูปแบบของ ZIP และ RAR โดยจะต้องมีไฟล์ในนั้นไม่สูงกว่า 20 ไฟล์
3, VirSCAN สามารถสแกนไฟล์บีบอัดที่มีรหัสผ่านด้วยคำว่า 'infected' และ 'virus' ได้

ภาษา
การทำงานของเซิฟเวอร์
Server Load

ข้อมูลไฟล์
การจัดระดับความปลอดภัย:45
รายการพฤติกรรม
รายงานการวิเคราะห์พฤติกรรม:         รายงานการวิเคราะห์พฤติกรรมของไฟล์ Threatbook
ข้อมูลพื้นฐาน
MD5:a7728562c9d2d733cac56f4eea629afb
ประเภทไฟล์:EXE
บริษัท ผลิต:@ByELDI
เวอร์ชัน:10.2.0.0---10.2.0.0
ข้อมูลเชลล์หรือคอมไพเลอร์:COMPILER:Borland Delphi 2.0 [Overlay]
พฤติกรรมที่สำคัญ
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 220000, SleepMilliseconds = 250.
TickCount = 220015, SleepMilliseconds = 250.
TickCount = 219878, SleepMilliseconds = 50.
TickCount = 219909, SleepMilliseconds = 50.
TickCount = 222968, SleepMilliseconds = 250.
TickCount = 222984, SleepMilliseconds = 250.
TickCount = 227721, SleepMilliseconds = 50.
TickCount = 227784, SleepMilliseconds = 50.
TickCount = 227846, SleepMilliseconds = 50.
TickCount = 227909, SleepMilliseconds = 50.
TickCount = 227971, SleepMilliseconds = 50.
TickCount = 228034, SleepMilliseconds = 50.
TickCount = 228096, SleepMilliseconds = 50.
TickCount = 228159, SleepMilliseconds = 50.
TickCount = 228221, SleepMilliseconds = 50.
คำอธิบายพฤติกรรม:查找PE资源信息
สำหรับข้อมูลเพิ่มเติม:(FindResourceA) hModule = 0x00400000, ResName: SHFOLDERDLL, ResType:
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:杀掉进程
สำหรับข้อมูลเพิ่มเติม:TASKKILL = "C:\WINDOWS\system32\taskkill.exe" /f /im "ISUSPM.exe"
พฤติกรรมกระบวนการ
คำอธิบายพฤติกรรม:隐藏窗口创建进程
สำหรับข้อมูลเพิ่มเติม:ImagePath = , CmdLine = "C:\WINDOWS\system32\taskkill.exe" /f /im "ISUSPM.exe"
ImagePath = , CmdLine = "schtasks.exe" /delete /tn * /f
ImagePath = , CmdLine = "sc.exe" delete isupdate.exe
ImagePath = , CmdLine = "sc.exe" delete ISUSPM.exe
ImagePath = , CmdLine = "sc.exe" delete msiupd.exe
ImagePath = , CmdLine = "sc.exe" delete router.exe
ImagePath = , CmdLine = "sc.exe" delete Updater.exe
ImagePath = , CmdLine = "sc.exe" delete updatesvc.exe
ImagePath = , CmdLine = "schtasks.exe" /Create /F /SC ONLOGON /RL HIGHEST /TN "InstallShield?Update Service Scheduler" /TR "\"C:\Program Files\Common Files\InstallShield\Update\ISUSPM.exe\"
ImagePath = , CmdLine = "schtasks.exe" /Create /F /SC WEEKLY /D WED,SUN /ST 12:00 /RL HIGHEST /TN "Optimize Thumbnail Cache Files" /TR "wscript.exe //nologo //E:jscript //B \"C:\Documents and Settings\All Users\Application Data\InstallShield\Update\isuspm.ini\"
ImagePath = , CmdLine = "schtasks.exe" /Create /SC ONLOGON /RU SYSTEM /TN "InstallShield?Update Service Scheduler" /TR "\"C:\Program Files\Common Files\InstallShield\Update\ISUSPM.exe\"
ImagePath = , CmdLine = "schtasks.exe" /Create /SC WEEKLY /D WED,SUN /ST 12:00:00 /RU SYSTEM /TN "Optimize Thumbnail Cache Files" /TR "wscript.exe //nologo //E:jscript //B \"C:\Documents and Settings\All Users\Application Data\InstallShield\Update\isuspm.ini\"
คำอธิบายพฤติกรรม:创建进程
สำหรับข้อมูลเพิ่มเติม:[0x00000af4]ImagePath = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, CmdLine = "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe" /VERYSILENT
[0x00000b44]ImagePath = C:\WINDOWS\system32\taskkill.exe, CmdLine = "C:\WINDOWS\system32\taskkill.exe" /f /im "ISUSPM.exe"
[0x00000bac]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = "schtasks.exe" /delete /tn * /f
[0x00000bbc]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = "sc.exe" delete isupdate.exe
[0x00000bc4]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = "sc.exe" delete ISUSPM.exe
[0x00000bcc]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = "sc.exe" delete msiupd.exe
[0x00000bd4]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = "sc.exe" delete router.exe
[0x00000bdc]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = "sc.exe" delete Updater.exe
[0x00000be4]ImagePath = C:\WINDOWS\system32\sc.exe, CmdLine = "sc.exe" delete updatesvc.exe
[0x00000bec]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = "schtasks.exe" /Create /F /SC ONLOGON /RL HIGHEST /TN "InstallShield?Update Service Scheduler" /TR "\"C:\Program Files\Common Files\InstallShield\Update\ISUSPM.exe\"
[0x00000bf4]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = "schtasks.exe" /Create /F /SC WEEKLY /D WED,SUN /ST 12:00 /RL HIGHEST /TN "Optimize Thumbnail Cache Files" /TR "wscript.exe //nologo //E:jscript //B \"C:\Documents and Settings\All Users\Application Data\InstallShield\Update\isuspm.ini\"
[0x00000bfc]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = "schtasks.exe" /Create /SC ONLOGON /RU SYSTEM /TN "InstallShield?Update Service Scheduler" /TR "\"C:\Program Files\Common Files\InstallShield\Update\ISUSPM.exe\"
[0x00000c08]ImagePath = C:\WINDOWS\system32\schtasks.exe, CmdLine = "schtasks.exe" /Create /SC WEEKLY /D WED,SUN /ST 12:00:00 /RU SYSTEM /TN "Optimize Thumbnail Cache Files" /TR "wscript.exe //nologo //E:jscript //B \"C:\Documents and Settings\All Users\Application Data\InstallShield\Update\isuspm.ini\"
คำอธิบายพฤติกรรม:创建本地线程
สำหรับข้อมูลเพิ่มเติม:TargetProcess: 996E.tmp, InheritedFromPID = 2636, ProcessID = 2712, ThreadID = 2776, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: 996E.tmp, InheritedFromPID = 2804, ProcessID = 2820, ThreadID = 2836, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: 996E.tmp, InheritedFromPID = 2804, ProcessID = 2820, ThreadID = 2868, StartAddress = 7C947EBB, Parameter = 00000000
TargetProcess: 996E.tmp, InheritedFromPID = 2804, ProcessID = 2820, ThreadID = 2872, StartAddress = 7C930230, Parameter = 00000000
TargetProcess: taskkill.exe, InheritedFromPID = 2820, ProcessID = 2884, ThreadID = 2900, StartAddress = 77E56C7D, Parameter = 000EAC50
TargetProcess: taskkill.exe, InheritedFromPID = 2820, ProcessID = 2884, ThreadID = 2904, StartAddress = 769AE43B, Parameter = 000ED4D0
TargetProcess: taskkill.exe, InheritedFromPID = 2820, ProcessID = 2884, ThreadID = 2908, StartAddress = 77E56C7D, Parameter = 000EDB78
คำอธิบายพฤติกรรม:创建下载文件进程
สำหรับข้อมูลเพิ่มเติม:[0x00000c38]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe" /passive /norestart
คำอธิบายพฤติกรรม:杀掉进程
สำหรับข้อมูลเพิ่มเติม:TASKKILL = "C:\WINDOWS\system32\taskkill.exe" /f /im "ISUSPM.exe"
คำอธิบายพฤติกรรม:创建新文件进程
สำหรับข้อมูลเพิ่มเติม:[0x00000a98]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-NHVND.tmp\996E.tmp, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-NHVND.tmp\996E.tmp" /SL5="$10342,3599818,122880,C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe"
[0x00000b04]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-SIVP1.tmp\996E.tmp, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-SIVP1.tmp\996E.tmp" /SL5="$2034E,3599818,122880,C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe" /VERYSILENT
[0x00000c28]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\_setup.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\_setup.exe"
[0x00000c94]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-OILHC.tmp\_setup.tmp, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-OILHC.tmp\_setup.tmp" /SL5="$103F8,2952592,69120,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\_setup.exe"
พฤติกรรมของไฟล์
คำอธิบายพฤติกรรม:创建文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\idp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe
C:\Program Files\Common Files\InstallShield\Update\is-4KAA3.tmp
C:\Documents and Settings\All Users\Application Data\InstallShield\Update\is-5P88L.tmp
C:\Program Files\Common Files\InstallShield\Update\is-LUT2M.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\is-F58B2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-OILHC.tmp\_setup.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\Setup Log 2017-10-10 #001.txt
C:\Documents and Settings\Administrator\Local Settings\Temp\is-0KRRK.tmp\_isetup\_shfoldr.dll
คำอธิบายพฤติกรรม:添加计划任务
สำหรับข้อมูลเพิ่มเติม:C:\WINDOWS\Tasks\Optimize Thumbnail Cache Files.job
คำอธิบายพฤติกรรม:创建可执行文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\idp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe
C:\Program Files\Common Files\InstallShield\Update\is-4KAA3.tmp
C:\Program Files\Common Files\InstallShield\Update\is-LUT2M.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\is-F58B2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-OILHC.tmp\_setup.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\is-0KRRK.tmp\_isetup\_shfoldr.dll
คำอธิบายพฤติกรรม:查找文件
สำหรับข้อมูลเพิ่มเติม:FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-NHVND.tmp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-NHVND.tmp\996E.tmp
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
คำอธิบายพฤติกรรม:删除文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\idp.dll
คำอธิบายพฤติกรรม:重命名文件
สำหรับข้อมูลเพิ่มเติม:C:\Program Files\Common Files\InstallShield\Update\is-4KAA3.tmp ---> C:\Program Files\Common Files\InstallShield\Update\ISUSPM.exe
C:\Documents and Settings\All Users\Application Data\InstallShield\Update\is-5P88L.tmp ---> C:\Documents and Settings\All Users\Application Data\InstallShield\Update\isuspm.ini
C:\Program Files\Common Files\InstallShield\Update\is-LUT2M.tmp ---> C:\Program Files\Common Files\InstallShield\Update\makecert.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\is-F58B2.tmp ---> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\_setup.exe
คำอธิบายพฤติกรรม:设置特殊文件夹属性
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
คำอธิบายพฤติกรรม:修改文件内容
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp ---> Offset = 262144
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp ---> Offset = 262144
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\idp.dll ---> Offset = 0
พฤติกรรมเครือข่าย
คำอธิบายพฤติกรรม:下载文件
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe
คำอธิบายพฤติกรรม:连接指定站点
สำหรับข้อมูลเพิ่มเติม:InternetConnectA: ServerName = go****om, PORT = 80, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000
คำอธิบายพฤติกรรม:打开HTTP连接
สำหรับข้อมูลเพิ่มเติม:InternetOpenA: UserAgent: InnoDownloadPlugin/1.5, hSession = 0x00cc0004
คำอธิบายพฤติกรรม:建立到一个指定的套接字连接
สำหรับข้อมูลเพิ่มเติม:URL: go****om, IP: **.133.40.**:80, SOCKET = 0x0000034c
คำอธิบายพฤติกรรม:读取网络文件
สำหรับข้อมูลเพิ่มเติม:hFile = 0x00cc000c, BytesToRead =1024, BytesRead = 1024.
คำอธิบายพฤติกรรม:发送HTTP包
สำหรับข้อมูลเพิ่มเติม:HEAD /fwlink/?LinkId=397707 HTTP/1.1 Accept: */* User-Agent: InnoDownloadPlugin/1.5 Host: go****om Content-Length: 0 Connection: Keep-Alive Cache-Control: no-cache
GET /fwlink/?LinkId=397707 HTTP/1.1 Accept: */* User-Agent: InnoDownloadPlugin/1.5 Host: go****om Connection: Keep-Alive Cache-Control: no-cache
คำอธิบายพฤติกรรม:打开HTTP请求
สำหรับข้อมูลเพิ่มเติม:HttpOpenRequestA: go****om:80/fwlink/?linkid=397707, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: HEAD, Referer: , Flags = 0x84400000
HttpOpenRequestA: go****om:80/fwlink/?linkid=397707, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x84400000
คำอธิบายพฤติกรรม:按名称获取主机地址
สำหรับข้อมูลเพิ่มเติม:GetAddrInfoW: go****om
ลักษณะการทำงานของรีจิสทรี
คำอธิบายพฤติกรรม:修改注册表
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
คำอธิบายพฤติกรรม:删除注册表键值
สำหรับข้อมูลเพิ่มเติม:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ProxySettingsPerUser
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
พฤติกรรมอื่น ๆ
คำอธิบายพฤติกรรม:创建互斥体
สำหรับข้อมูลเพิ่มเติม:oleacc-msaa-loaded
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
RasPbFile
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.IAL
คำอธิบายพฤติกรรม:创建事件对象
สำหรับข้อมูลเพิ่มเติม:EventName = Global\userenv: User Profile setup event
EventName = DINPUTWINMM
EventName = Global\crypt32LogoffEvent
EventName = MSCTF.SendReceive.Event.IAL.IC
EventName = MSCTF.SendReceiveConection.Event.IAL.IC
คำอธิบายพฤติกรรม:窗口信息
สำหรับข้อมูลเพิ่มเติม:Pid = 3220, Hwnd=0x10476, Text = Welcome to the KMSpico Setup Wizard , ClassName = TNewStaticText.
Pid = 3220, Hwnd=0x10474, Text = This will install KMSpico on your computer. It is recommended that you close all other applications before continuing. Click Next to continue, or Cancel to exit Setup., ClassName = TNewStaticText.
Pid = 3220, Hwnd=0x10468, Text = Important: If you like MS Windows and MS Office please buy legal and original this program help to test this products, ClassName = TRichEditViewer.
Pid = 3220, Hwnd=0x1044e, Text = DirEdit, ClassName = TEdit.
Pid = 3220, Hwnd=0x10470, Text = &Next >, ClassName = TNewButton.
Pid = 3220, Hwnd=0x1046e, Text = Cancel, ClassName = TNewButton.
Pid = 3220, Hwnd=0x10418, Text = Setup, ClassName = TWizardForm.
Pid = 3220, Hwnd=0x1040e, Text = Setup - KMSpico, ClassName = TMainForm.
คำอธิบายพฤติกรรม:查找指定窗口
สำหรับข้อมูลเพิ่มเติม:NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
คำอธิบายพฤติกรรม:打开事件
สำหรับข้อมูลเพิ่มเติม:HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
Global\SvcctrlStartEvent_A3752DX
\INSTALLATION_SECURITY_HOLD
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000011
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000011
MSCTF.SendReceive.Event.IOH.IC
MSCTF.SendReceiveConection.Event.IOH.IC
MSFT.VSA.COM.DISABLE.2884
MSFT.VSA.IEC.STATUS.6c736db0
Global\crypt32LogoffEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000012
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000012
คำอธิบายพฤติกรรม:获取TickCount值
สำหรับข้อมูลเพิ่มเติม:TickCount = 220000, SleepMilliseconds = 250.
TickCount = 220015, SleepMilliseconds = 250.
TickCount = 219878, SleepMilliseconds = 50.
TickCount = 219909, SleepMilliseconds = 50.
TickCount = 222968, SleepMilliseconds = 250.
TickCount = 222984, SleepMilliseconds = 250.
TickCount = 227721, SleepMilliseconds = 50.
TickCount = 227784, SleepMilliseconds = 50.
TickCount = 227846, SleepMilliseconds = 50.
TickCount = 227909, SleepMilliseconds = 50.
TickCount = 227971, SleepMilliseconds = 50.
TickCount = 228034, SleepMilliseconds = 50.
TickCount = 228096, SleepMilliseconds = 50.
TickCount = 228159, SleepMilliseconds = 50.
TickCount = 228221, SleepMilliseconds = 50.
คำอธิบายพฤติกรรม:调整进程token权限
สำหรับข้อมูลเพิ่มเติม:SE_LOAD_DRIVER_PRIVILEGE
SE_DEBUG_PRIVILEGE
คำอธิบายพฤติกรรม:枚举窗口
สำหรับข้อมูลเพิ่มเติม:N/A
คำอธิบายพฤติกรรม:查找PE资源信息
สำหรับข้อมูลเพิ่มเติม:(FindResourceA) hModule = 0x00400000, ResName: SHFOLDERDLL, ResType:
คำอธิบายพฤติกรรม:可执行文件签名信息
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\idp.dll(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe(签名验证: 未通过)
C:\Program Files\Common Files\InstallShield\Update\is-4KAA3.tmp(签名验证: 未通过)
C:\Program Files\Common Files\InstallShield\Update\is-LUT2M.tmp(签名验证: 通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\is-F58B2.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-OILHC.tmp\_setup.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\Temp\is-0KRRK.tmp\_isetup\_shfoldr.dll(签名验证: 未通过)
คำอธิบายพฤติกรรม:调用Sleep函数
สำหรับข้อมูลเพิ่มเติม:[1]: MilliSeconds = 250.
[2]: MilliSeconds = 50.
[1]: MilliSeconds = 50.
[2]: MilliSeconds = 250.
[3]: MilliSeconds = 250.
[4]: MilliSeconds = 250.
[5]: MilliSeconds = 250.
[6]: MilliSeconds = 250.
[7]: MilliSeconds = 250.
[8]: MilliSeconds = 250.
[9]: MilliSeconds = 250.
[10]: MilliSeconds = 250.
[3]: MilliSeconds = 50.
[4]: MilliSeconds = 50.
[5]: MilliSeconds = 50.
คำอธิบายพฤติกรรม:隐藏指定窗口
สำหรับข้อมูลเพิ่มเติม:[Window,Class] = [,ComboLBox]
คำอธิบายพฤติกรรม:可执行文件MD5
สำหรับข้อมูลเพิ่มเติม:C:\Documents and Settings\Administrator\Local Settings\Temp\is-NHVND.tmp\996E.tmp ---> e4278a3cf1183d8672e15cd3576724eb
C:\Documents and Settings\Administrator\Local Settings\Temp\is-JP5MK.tmp\idp.dll ---> 8f995688085bced38ba7795f60a5e1d3
C:\Documents and Settings\Administrator\Local Settings\Temp\is-SIVP1.tmp\996E.tmp ---> e4278a3cf1183d8672e15cd3576724eb
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\idp.dll ---> 8f995688085bced38ba7795f60a5e1d3
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\NetFrameworkInstaller.exe ---> fe1d0ee5901dd167ee9b28eece31786c
C:\Program Files\Common Files\InstallShield\Update\is-4KAA3.tmp ---> 5af558b541a88697d25063b30c55a536
C:\Program Files\Common Files\InstallShield\Update\is-LUT2M.tmp ---> 3da54bd90c1a4ef9a12270102c047fc5
C:\Documents and Settings\Administrator\Local Settings\Temp\is-EECTK.tmp\is-F58B2.tmp ---> a02164371a50c5ff9fa2870ef6e8cfa3
C:\Documents and Settings\Administrator\Local Settings\Temp\is-OILHC.tmp\_setup.tmp ---> 1778c1f66ff205875a6435a33229ab3c
C:\Documents and Settings\Administrator\Local Settings\Temp\is-0KRRK.tmp\_isetup\_shfoldr.dll ---> 92dc6ef532fbb4a5c3201469a5b5eb63
คำอธิบายพฤติกรรม:打开互斥体
สำหรับข้อมูลเพิ่มเติม:ShimCacheMutex
Local\!IETld!Mutex
Local\_!MSFTHISTORY!_
Local\c:!documents and settings!administrator!local settings!temporary internet files!content.ie5!
Local\c:!documents and settings!administrator!cookies!
Local\c:!documents and settings!administrator!local settings!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
RasPbFile
คำอธิบายพฤติกรรม:加载新释放的文件
สำหรับข้อมูลเพิ่มเติม:Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-JP5MK.tmp\idp.dll.
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-EECTK.tmp\idp.dll.
เรียกใช้ภาพหน้าจอ
VirSCAN

เกี่ยวกับ VirSCAN | ข้อตกลงด้านความเป็นส่วนตัว | ติดต่อเรา | ลิงค์ที่เป็นมิตร | ช่วยเหลือ VirSCAN
中国反网络病毒联盟
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号