查看: 4881|回复: 13
收起左侧

[可疑文件] CritX Pack exploit kit VT Detection ratio: 6 / 46 7.651581504579699E8.exe

[复制链接]
firefox3
发表于 2013-1-19 00:04:40 | 显示全部楼层 |阅读模式



https://www.virustotal.com/file/ ... nalysis/1358524873/
SHA256:        1d5e3cc32b7be9da26e7ad1b3fbf8524d99a2588c44b1396844411b9d914e4c6
File name:        7.651581504579699E8.exe
Detection ratio:        6 / 46
Analysis date:         2013-01-18 16:01:13 UTC ( 0 分钟 ago )



2013-01-18 23:57:59   C:\Users\Firefox3\AppData\Local\Temp\7.651581504579699E8.exe   修改注册表项   HKLM\SOFTWARE\Classes\CLSID\{401BFB93-980B-42B8-40BC-149D28227FBB}   

2013-01-18 23:57:59   C:\Windows\System32\WerFault.exe   直接键盘访问      

2013-01-18 23:57:59   C:\Windows\System32\WerFault.exe   直接键盘访问      

2013-01-18 23:57:53   C:\Windows\system32\WerFault.exe   在线扫描发现安全程序      

2013-01-18 23:57:51   C:\Windows\system32\cmd.exe   Sandbox中运行   Partially Limited   

2013-01-18 23:57:51   C:\Windows\system32\WerFault.exe   Sandbox中运行   Partially Limited   

2013-01-18 23:57:01   C:\Program Files\Java\jre7\bin\java.exe   创建进程   C:\Users\Firefox3\AppData\Local\Temp\7.651581504579699E8.exe   

2013-01-18 23:56:59   C:\Users\Firefox3\AppData\Local\Temp\7.651581504579699E8.exe   Sandbox中运行   Partially Limited   

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wjcharles
发表于 2013-1-19 03:08:57 | 显示全部楼层
NIS2013

完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________

在电脑上的创建时间 
2013/1/19 ( 2:42:32 )


上次使用时间 
2013/1/19 ( 2:42:32 )


启动项目 



已启动 


____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________




file origin tree




winrar.exe




7.651581504579699e8.exe








____________________________
文件操作
7.651581504579699e8.exe
已删除
____________________________
系统设置操作
未采取操作
cmd.exe
未采取操作
netscape.dll
未采取操作
7.651581504579699e8.exe
未采取操作



平均资源使用率:
未知


平均CPU 使用率:
未知


平均内存使用率:
未知


____________________________
文件指纹 - SHA:
1d5e3cc32b7be9da26e7ad1b3fbf8524d99a2588c44b1396844411b9d914e4c6
____________________________
文件指纹 - MD5:
a4e449f76bbe74fdc26a1ca0835f90e8
____________________________
fireold
发表于 2013-1-19 09:40:39 | 显示全部楼层
F-Secure Internet Security 2013 雙擊

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
fusheng9393
发表于 2013-1-19 09:49:47 | 显示全部楼层
病毒有风险,怕得流感不敢试。
hddu
发表于 2013-1-19 10:31:28 | 显示全部楼层
2013-01-19 10:31:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{371067F6-F08C-4CB1-D189-9AE7186A8C18}\InprocServer32
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\*


2013-01-19 10:31:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{371067F6-F08C-4CB1-D189-9AE7186A8C18}\ProgID
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\*


2013-01-19 10:31:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{371067F6-F08C-4CB1-D189-9AE7186A8C18}\TypeLib
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\*


2013-01-19 10:31:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{371067F6-F08C-4CB1-D189-9AE7186A8C18}\Version
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\*


2013-01-19 10:31:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:04    运行应用程序      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-01-19 10:31:15    运行应用程序      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2013-01-19 10:31:18    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:18    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:21    创建文件      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Urvo
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2013-01-19 10:31:22    创建文件      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*.exe


2013-01-19 10:31:26    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-01-19 10:31:30    创建文件      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Nirie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2013-01-19 10:31:32    创建文件      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Lady
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*


2013-01-19 10:31:38    修改文件      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Application Data\*.exe


2013-01-19 10:31:38    运行应用程序      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
触发规则:应用程序规则->程序->?:\*


2013-01-19 10:31:39    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:39    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:42    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
文件路径:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-01-19 10:31:46    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2013-01-19 10:31:47    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2013-01-19 10:31:47    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->*


2013-01-19 10:31:48    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\Program Files\KR浏览器\krbrowser.exe
触发规则:所有程序规则->*


2013-01-19 10:31:48    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
触发规则:所有程序规则->*


2013-01-19 10:31:48    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->*


2013-01-19 10:31:48    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:48    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CLASSES_ROOT\.key
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-01-19 10:31:48    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\system32\conime.exe
触发规则:所有程序规则->*


2013-01-19 10:31:49    创建远程线程      操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
触发规则:所有程序规则->进程注入修改内存设置->*\Local Settings\Temp\*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:1406
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:1406
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:1406
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:49    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:31:51    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-01-19 10:31:56    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\Folders.dbx
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\收件箱.dbx
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:58    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\收件箱.dbx
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:31:59    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->*


2013-01-19 10:31:59    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->*


2013-01-19 10:31:59    创建远程线程      操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
触发规则:所有程序规则->进程注入修改内存设置->*\Local Settings\Temp\*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:1406
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:1406
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:1406
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:00    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
注册表名称:1609
触发规则:所有程序规则->IE浏览器设置->*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones*


2013-01-19 10:32:01    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\Offline.dbx
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:32:01    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\已发送邮件.dbx
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:32:01    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wininit.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\{D0E56061-B854-4D20-9823-AC1233A8E3D8}\Microsoft\Outlook Express\已发送邮件.dbx
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2013-01-19 10:32:02    创建远程线程      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Urvo\basi.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:所有程序规则->*


2013-01-19 10:32:06    运行应用程序      操作:允许
进程路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp2b1259f2.bat"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2013-01-19 10:32:09    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\7[1].651581504579699E8\7.651581504579699E8.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


O(∩_∩)O哈哈~
发表于 2013-1-19 10:56:04 | 显示全部楼层
微点杀
Just_K
发表于 2013-1-19 11:30:29 | 显示全部楼层
360杀,不过居然过hitman。。。。
3801187
发表于 2013-1-19 13:12:28 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zmzcy
发表于 2013-1-19 13:36:49 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zst470396853
发表于 2013-1-19 13:42:17 | 显示全部楼层
Q管 未知
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 11:17 , Processed in 0.157285 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表