VirSCAN.org - The Multi-Engine Virus Scanner v1.02, Supports 47 AntiVirus Engines!

Головне меню

Повідомити про помилку

Зворотній зв'язок

Виявлення URL-адрес

API

uploader for windows(test)

Інформація про файл

Рейтинг безпеки:70

Сканування звіту з декількома движками Virscan.org

Основна інформація
MD5:	5e2a81d54d63d44678446fffe82c24eb
Тип файлу:	EXE
Виробнича компанія:	Microsoft Corporation
Версія:	6.0.3790.0---6.00.3790.0 (srv03_rtm.030324-2048)
Інформація оболонки або компілятора:
Інформація про субфайл:	nspack_68588e6edumpFile / big file / Cab
	pbvm90.dlldumpFile / 351012fc309d0ef5a233ef369007808c / DLL
	pbvm90.dll / 351012fc309d0ef5a233ef369007808c / DLL
	pbvm90.dll / 351012fc309d0ef5a233ef369007808c / DLL
	CABINETdumpFile / 93b1c9d75e447951b769f1b2628ad741 / Cab
	pbdwe90.dll / 8203e3e7f08747538a45c5a815571ccc / DLL
	pbdwe90.dlldumpFile / 8203e3e7f08747538a45c5a815571ccc / DLL
	pbdwe90.dll / 8203e3e7f08747538a45c5a815571ccc / DLL
	libjcc.dll / f91f03d86aef8c3149ef752c8fa208bb / DLL
	libjcc.dlldumpFile / f91f03d86aef8c3149ef752c8fa208bb / DLL
	libjcc.dll / f91f03d86aef8c3149ef752c8fa208bb / DLL
	pbo8490.dlldumpFile / 8d8e23b13aeb2fa28ef7b77dd8056062 / DLL
	pbo8490.dll / 8d8e23b13aeb2fa28ef7b77dd8056062 / DLL
	pbo8490.dll / 8d8e23b13aeb2fa28ef7b77dd8056062 / DLL
	bb_work.pbddumpFile / bf535a9c45c4685509b7a16cb3c7c047 / Unknown
	bb_work.pbd / bf535a9c45c4685509b7a16cb3c7c047 / Unknown
	bb_work.pbd / bf535a9c45c4685509b7a16cb3c7c047 / Unknown
	bb.pbddumpFile / 0ba247ae7794158d834f5502a4ac4390 / Unknown
	bb.pbd / 0ba247ae7794158d834f5502a4ac4390 / Unknown

Ключова поведінка
Опис поведінки:	写权限映射文件
Подробиці:	CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	MSCTF.MarshalInterface.FileMap.EFP..JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.B.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.C.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.D.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.E.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.F.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.G.JEMIF
	MSCTF.Shared.SFM.EFP
Опис поведінки:	隐藏指定窗口
Подробиці:	[Window,Class] = [,ListBox]
	[Window,Class] = [,FNUDO390]
Опис поведінки:	修改注册表_启动项
Подробиці:	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0

Процес поведінки
Опис поведінки:	创建新文件进程
Подробиці:	ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\bb.zp.exe, CmdLine = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\bb.zp.exe

Поведінка файлів
Опис поведінки:	写权限映射文件
Подробиці:	CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	MSCTF.MarshalInterface.FileMap.EFP..JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.B.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.C.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.D.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.E.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.F.JEMIF
	MSCTF.MarshalInterface.FileMap.EFP.G.JEMIF
	MSCTF.Shared.SFM.EFP
Опис поведінки:	创建可执行文件
Подробиці:	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\bb.zp.exe
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\dssdll.dll
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\dssdlli.dll
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\libjcc.dll
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\libjsybheap.dll
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\pbdwe90.dll
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\pbo8490.dll
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\pbvm90.dll
Опис поведінки:	修改文件内容
Подробиці:	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\bb.pbd---> Offset = 98304
	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\bb_work.pbd---> Offset = 95744

Реєстр поведінки
Опис поведінки:	修改注册表
Подробиці:	\REGISTRY\MACHINE\SOFTWARE\Classes\.fbp\file
	\REGISTRY\MACHINE\SOFTWARE\Classes\.fbp\shell
	\REGISTRY\MACHINE\SOFTWARE\findit\ver
	\REGISTRY\MACHINE\SOFTWARE\findit\times
Опис поведінки:	修改注册表_启动项
Подробиці:	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\wextract_cleanup0

Інша поведінка
Опис поведінки:	创建互斥体
Подробиці:	CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	CTF.TMD.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
	CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
	MSCTF.Shared.MUTEX.AEH
	MSCTF.Shared.MUTEX.EFP
Опис поведінки:	查找指定窗口
Подробиці:	NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
	NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
Опис поведінки:	隐藏指定窗口
Подробиці:	[Window,Class] = [,ListBox]
	[Window,Class] = [,FNUDO390]
Опис поведінки:	窗口信息
Подробиці:	Pid = 3920, Hwnd=0x103aa, Text = 13321861250, ClassName = Button.
	Pid = 3920, Hwnd=0x103a8, Text = 要更改老版本注册码的时候，请输入修改密码:, ClassName = Button.
	Pid = 3920, Hwnd=0x103a6, Text = 10位注册码(1), ClassName = Button.
	Pid = 3920, Hwnd=0x103a4, Text = 10位的注册码只出现在下面一行。, ClassName = Button.
	Pid = 3920, Hwnd=0x103a2, Text = 10位注册码(2), ClassName = Button.
	Pid = 3920, Hwnd=0x103a0, Text = 两个注册码一样，上边的方便查看，下边一行方便复制。, ClassName = Button.
	Pid = 3920, Hwnd=0x1039c, Text = 信息：, ClassName = Button.
	Pid = 3920, Hwnd=0x1039a, Text = 退出程序, ClassName = Button.
	Pid = 3920, Hwnd=0x10398, Text = 到哪年过期，例如2012年，最大年限为2090年, ClassName = Button.
	Pid = 3920, Hwnd=0x10396, Text = 到期年份的天数，例如第300天过期, ClassName = Button.
	Pid = 3920, Hwnd=0x10394, Text = 300, ClassName = PBEDIT90.
	Pid = 3920, Hwnd=0x10390, Text = 到期天数：, ClassName = Button.
	Pid = 3920, Hwnd=0x1038e, Text = 到期年限：, ClassName = Button.
	Pid = 3920, Hwnd=0x1038c, Text = 生成15位注册码, ClassName = Button.
	Pid = 3920, Hwnd=0x10386, Text = none, ClassName = pbdw90.

Запустити знімок екрана

Інформація про файл

Основна інформація

Ключова поведінка

Процес поведінки

Поведінка файлів

Реєстр поведінки

Інша поведінка

上传文件