VT Detection ratio: 2 / 47 gIgE2mq0.exe EMET 4 真心碉堡啦

显示全部楼层 · 发表于 2013-10-28 22:44:39

netvox 发表于 2013-10-28 22:40
无法过微点

这也是因为这个木马太贪心了先是修改svchost 然后利用它搞坏系统安全中心还有mse才被神点抓到了，要不是直接进行后面的行为，你的神点照样被开启摄像头然后锁屏

无法过微点，我呵呵

显示全部楼层 · 发表于 2013-10-28 22:46:22

jhlxsxj 发表于 2013-10-28 22:41
截图为证。等等看拉黑后的名字。@360速来拉黑。

数字拉黑算快的，不像某些国产要美其名曰高启发

显示全部楼层 · 发表于 2013-10-28 22:47:34

墨家小子发表于 2013-10-28 22:46
数字拉黑算快的，不像某些国产要美其名曰高启发

高启发什么的，呵呵。

显示全部楼层 · 发表于 2013-10-28 22:48:13

to ESET

显示全部楼层 · 发表于 2013-10-28 22:48:38

upx壳，，，
百度杀毒国际版原文件和脱壳文件均不杀
超级巡警恰恰相反。

显示全部楼层 · 发表于 2013-10-28 22:53:40

jhlxsxj 发表于 2013-10-28 22:47
高启发什么的，呵呵。

卡饭样本区蹲坑高启发天下无敌

显示全部楼层 · 发表于 2013-10-28 22:54:48

墨家小子发表于 2013-10-28 22:53
卡饭样本区蹲坑高启发天下无敌

拉黑就拉黑何必要显得多流弊的啊

显示全部楼层 · 发表于 2013-10-28 23:00:26

jhlxsxj 发表于 2013-10-28 22:54
拉黑就拉黑何必要显得多流弊的啊

跟数字QVM好像是一回事

显示全部楼层 · 发表于 2013-10-28 23:08:44

2013-10-28 23:10:44 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and settings\killleer\桌面\gige2mq0.exe
命令行: "D:\Documents and Settings\killleer\桌面\gIgE2mq0.exe"
规则: [应用程序]d:\windows\explorer.exe

2013-10-28 23:10:45 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\gige2mq0.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-10-28 23:10:49 创建新进程允许
进程: d:\documents and settings\killleer\桌面\gige2mq0.exe
目标: d:\windows\system32\svchost.exe
命令行: "D:\WINDOWS\system32\svchost.exe"
规则: [应用程序]d:\windows\system32\svchost.exe

2013-10-28 23:10:51 修改其他进程的内存允许
进程: d:\documents and settings\killleer\桌面\gige2mq0.exe
目标: d:\windows\system32\svchost.exe
规则: [应用程序]*

2013-10-28 23:11:04 修改注册表值阻止
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2013-10-28 23:11:07 修改文件阻止
进程: d:\windows\system32\svchost.exe
目标: D:\WINDOWS\system32\wbem\Logs\wbemprox.log
规则: [文件组]所有执行文件 -> [文件]*; *.log

2013-10-28 23:11:09 删除注册表项阻止
进程: d:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2013-10-28 23:11:15 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1132] ->  [85.25.84.201 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:16 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1133] ->  [5.152.213.36 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:17 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1134] ->  [85.25.84.201 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:18 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1135] ->  [5.152.213.36 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:18 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1136] ->  [85.25.84.201 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:20 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1137] ->  [5.152.213.36 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:21 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1138] ->  [85.25.84.201 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:22 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1139] ->  [5.152.213.36 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:22 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1140] ->  [85.25.84.201 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-10-28 23:11:23 访问网络阻止
进程: d:\windows\system32\svchost.exe
目标: TCP [本机 : 1141] ->  [5.152.213.36 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2013-10-28 23:15:28

墨家小子发表于 2013-10-28 22:46
数字拉黑算快的，不像某些国产要美其名曰高启发

费尔是高启发吗？

[可疑文件] VT Detection ratio: 2 / 47 gIgE2mq0.exe EMET 4 真心碉堡啦