574-01.exe

显示全部楼层 · 发表于 2011-12-5 18:27:10

微点主防报毒

显示全部楼层 · 发表于 2011-12-5 18:27:28

to 费尔

显示全部楼层 · 发表于 2011-12-6 08:54:43

过BD 扫描主防拿下

显示全部楼层 · 发表于 2011-12-6 09:03:20

本帖最后由绅博周幸于 2011-12-6 09:04 编辑

wuyongliang 发表于 2011-12-6 08:54
过BD 扫描主防拿下

STOP! Bitdefender blocked this web page.

The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... 0ODc1fDExNDMzMTY%3D
Detected viruses: Gen:Variant.Kazy.47288

Access from your browser has been blocked.

Take me back to safety

距离你发帖不到10分钟，BD有这么快入库吗？

显示全部楼层 · 发表于 2011-12-6 09:27:13

绅博周幸发表于 2011-12-6 09:03
STOP! Bitdefender blocked this web page.

停！ Bitdefender 封鎖本網頁。
您要存取的網頁內有惡意軟體。

詳細資料：
網頁：http://bbs.kafan.cn/forum.php?mo ... DUwOTM3MXwxMTQzMzE2
已偵測到的病毒： Gen:Variant.Kazy.47288

您的瀏覽器存取已被阻擋。

显示全部楼层 · 发表于 2011-12-6 09:27:55

本帖最后由 wuyongliang 于 2011-12-6 09:29 编辑

绅博周幸发表于 2011-12-6 09:03
STOP! Bitdefender blocked this web page.

我现在也拦截啊

我很奇怪，我病毒库也是最新更新的

显示全部楼层 · 发表于 2011-12-6 10:42:40

本帖最后由 liulangzhecgr 于 2011-12-6 10:48 编辑

真糟糕!影子系统下运行样本，中的更严重的病毒... 晕！
运行样本后

系统任务管理器自动退出，接着...

重启系统，晕！（穿套影子系统？！）

显示全部楼层 · 发表于 2011-12-6 10:45:37

木马

显示全部楼层 · 发表于 2011-12-6 11:31:58

点击样本：

重启系统：

显示全部楼层 · 发表于 2011-12-6 11:54:41

2011-12-6 10:50:01 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\574-01\574-01.exe
命令行: "E:\downloads\574-01\574-01.exe"
规则: [应用程序]*

2011-12-6 10:51:52 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Control Panel\5761b2dc-ce77-4bfa-b965-6f33b1867cf2
值:
规则: [注册表]*

2011-12-6 10:55:03 结束其他进程允许
进程: e:\downloads\574-01\574-01.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2011-12-6 10:55:10 创建注册表项允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
规则: [注册表]*

2011-12-6 10:55:17 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\*

---任务管理器不能使用？！

2011-12-6 10:55:20 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*

2011-12-6 10:55:27 创建注册表项允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
规则: [注册表]*

2011-12-6 10:55:32 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation
值: 0x00000001(1)
规则: [注册表]*

2011-12-6 10:55:35 创建注册表项允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
规则: [注册表]*

2011-12-6 10:55:36 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypess
值: .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;
规则: [注册表]*

2011-12-6 10:55:39 创建文件允许
进程: e:\downloads\574-01\574-01.exe
目标: C:\Documents and Settings\All Users\Application Data\fUOfWDexaNHOBg.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-12-6 10:55:42 创建新进程允许
进程: e:\downloads\574-01\574-01.exe
目标: c:\documents and settings\all users\application data\fuofwdexanhobg.exe
命令行: "C:\Documents and Settings\All Users\Application Data\fUOfWDexaNHOBg.exe"
规则: [应用程序]*

2011-12-6 10:55:46 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fUOfWDexaNHOBg.exe
值: C:\Documents and Settings\All Users\Application Data\fUOfWDexaNHOBg.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011-12-6 10:56:57 访问网络允许
进程: e:\downloads\574-01\574-01.exe
目标: TCP [本机 : 1231] -> [81.17.26.218 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-12-6 10:57:18 访问网络允许
进程: e:\downloads\574-01\574-01.exe
目标: TCP [本机 : 1232] -> [31.44.184.59 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-12-6 10:57:23 创建文件允许
进程: e:\downloads\574-01\574-01.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IOGK5Dnb17tWl0.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-12-6 10:57:26 修改文件允许
进程: e:\downloads\574-01\574-01.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IOGK5Dnb17tWl0.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-12-6 10:57:28 创建新进程允许
进程: e:\downloads\574-01\574-01.exe
目标: c:\documents and settings\administrator\local settings\temp\iogk5dnb17twl0.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IOGK5Dnb17tWl0.exe
规则: [应用程序]*

2011-12-6 10:57:30 修改文件允许
进程: e:\downloads\574-01\574-01.exe
目标: E:\downloads\574-01\574-01.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-12-6 10:57:31 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\iogk5dnb17twl0.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\googleupdate.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-12-6 10:57:32 创建文件允许
进程: e:\downloads\574-01\574-01.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\eNIe02yuircmcr.exe.tmp
规则: [文件]*

2011-12-6 10:57:34 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\iogk5dnb17twl0.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\8.tmp
规则: [文件]*

2011-12-6 10:57:37 修改注册表值允许
进程: e:\downloads\574-01\574-01.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\eNIe02yuircmcr.exe.tmp
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

2011-12-6 10:57:39 修改文件允许
进程: c:\documents and settings\administrator\local settings\temp\iogk5dnb17twl0.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\IOGK5Dnb17tWl0.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-12-6 10:57:43 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\iogk5dnb17twl0.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\8.tmp
规则: [文件]*

2011-12-6 10:57:47 修改注册表值允许
进程: c:\documents and settings\all users\application data\fuofwdexanhobg.exe
目标: HKEY_CURRENT_USER\Control Panel\nsreg
值: 0x4edd84a6(1323140262)
规则: [注册表]*

2011-12-6 10:58:15 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\iogk5dnb17twl0.exe
目标: c:\documents and settings\administrator\local settings\temp\googleupdate.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\googleupdate.exe" C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8.tmp
规则: [应用程序]*

2011-12-6 10:58:25 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wbem\wmiprvse.exe
命令行: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding
规则: [应用程序]*

2011-12-6 10:58:35 删除注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\IDE\DiskST340014A_______________________________3.06____\4a33345833343348202020202020202020202020\LogConf\BootConfigVector
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-12-6 10:59:02 创建文件允许
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: C:\WINDOWS\TEMP\Perflib_Perfdata_26c.dat
规则: [文件]*

2011-12-6 10:59:04 修改文件允许
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: C:\WINDOWS\temp\Perflib_Perfdata_26c.dat
规则: [文件]*

2011-12-6 10:59:06 删除注册表值允许
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PerfOS\Performance\Error Count
规则: [注册表]*

2011-12-6 10:59:38 底层磁盘写操作允许
进程: c:\documents and settings\administrator\local settings\temp\googleupdate.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

---这个东东修改mbr ?!

... ...

[病毒样本] 574-01.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块