全过杀软，盗号木马

显示全部楼层 · 发表于 2011-12-26 16:20:03

本帖最后由郑伟用户于 2011-12-26 16:20 编辑

wuyongliang 发表于 2011-12-26 16:17
很多都杯具都上报很多才报的

显示全部楼层 · 发表于 2011-12-26 16:20:24

wuyongliang 发表于 2011-12-26 16:03
可能吧，你实机运行了发现什么行为了

确实是病毒的~~~

卡巴已经回了
Hello,

##.exe_

No malicious code was found in this file.

#.cab - Trojan-PSW.Win32.QQPass.aqst

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Regards,Heming Hou
Virus Analyst,VirusLab China

显示全部楼层 · 发表于 2011-12-26 16:28:31

liulangzhecgr 发表于 2011-12-26 15:21
运行后：有点儿怪怪...

我这里顺利出现假登录窗口

显示全部楼层 · 发表于 2011-12-26 16:31:00

郑伟用户发表于 2011-12-26 16:28
我这里顺利出现假登录窗口

抓图啦。。。让我也看看假登录窗口是什么样的？

显示全部楼层 · 发表于 2011-12-26 16:34:07

过这么多杀软，这病毒够牛的。

显示全部楼层 · 发表于 2011-12-26 16:36:16

accp.taotao 发表于 2011-12-26 16:31
抓图啦。。。让我也看看假登录窗口是什么样的？

满足你

显示全部楼层 · 发表于 2011-12-26 16:44:57

郑伟用户发表于 2011-12-26 16:28
我这里顺利出现假登录窗口

我的机子出现问题？！

刚才重新运行：

显示全部楼层 · 发表于 2011-12-26 16:46:03

红伞miss 上报！~~

显示全部楼层 · 发表于 2011-12-26 16:53:41

本帖最后由郑伟用户于 2011-12-26 16:55 编辑

liulangzhecgr 发表于 2011-12-26 16:44
我的机子出现问题？！

刚才重新运行：

不是机子出问题，我用ＭＤ也是你这种现象

我设置ＱＱ自动登录

显示全部楼层 · 发表于 2011-12-26 16:55:19

本帖最后由 liulangzhecgr 于 2011-12-26 17:02 编辑

-----------------------------------------------
这是md跟踪过程的日志...(没有编辑日志)

2011-12-26 16:37:11 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\资料(1)\资料.exe
命令行: "E:\downloads\资料(1)\资料.exe"
规则: [应用程序]*

2011-12-26 16:37:19 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: E:\downloads\资料(1)\な.cab
规则: [应用程序]* -> [文件]*

2011-12-26 16:37:24 结束其他进程允许
进程: e:\downloads\资料(1)\资料.exe
目标: d:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]*

2011-12-26 16:38:08 向其他进程发送消息允许
进程: e:\downloads\资料(1)\资料.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

2011-12-26 16:48:02 向其他进程发送消息允许
进程: e:\downloads\资料(1)\资料.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_SETTEXT
规则: [应用程序]*

2011-12-26 16:48:12 底层键盘操作允许
进程: e:\downloads\资料(1)\资料.exe
规则: [应用程序]*

2011-12-26 16:48:14 底层键盘操作允许
进程: e:\downloads\资料(1)\资料.exe
规则: [应用程序]*

2011-12-26 16:48:17 底层键盘操作允许
进程: e:\downloads\资料(1)\资料.exe
规则: [应用程序]*

2011-12-26 16:48:26 底层键盘操作允许
进程: e:\downloads\资料(1)\资料.exe
规则: [应用程序]*

2011-12-26 16:48:30 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序]* -> [注册表]*

2011-12-26 16:48:33 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [应用程序]* -> [注册表]*

2011-12-26 16:48:37 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [应用程序]* -> [注册表]*

2011-12-26 16:48:42 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:43 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:44 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:46 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:47 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:48 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序]* -> [注册表]*

2011-12-26 16:48:52 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:54 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:55 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [应用程序]* -> [注册表]*

2011-12-26 16:48:57 修改文件允许
进程: e:\downloads\资料(1)\资料.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序]* -> [文件]*

2011-12-26 16:48:59 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:00 删除注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:01 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
值: <local>
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:03 删除注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:05 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 83 00 00 00 01 00 00 00 00 00 00 00 07 00 00 00 3c 6c 6f 63 61 6c 3e 00 00 00 00 04 00 00 00 00 00 00 00 00 ce 4d b5 91 bf cc 01 01 00 00 00 c0 a8 00 70 00 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 c0 a8 00 70 00 00 00 00 00 00 00 00 00 00 00 00 06 00 00 00 00 00 00 00 03 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 07 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:09 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:10 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:11 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:13 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:14 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:15 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:16 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:17 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:18 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:19 删除注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:20 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
值: <local>
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:21 删除注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:22 修改注册表值允许
进程: e:\downloads\资料(1)\资料.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 46 00 00 00 84 00 00 00 01 00 00 00 00 00 00 00 07 00 00 00 3c 6c 6f 63 61 6c 3e 00 00 00 00 04 00 00 00 00 00 00 00 00 ce 4d b5 91 bf cc 01 01 00 00 00 c0 a8 00 70 00 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 c0 a8 00 70 00 00 00 00 00 00 00 00 00 00 00 00 06 00 00 00 00 00 00 00 03 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 07 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序]* -> [注册表]*

2011-12-26 16:49:26 访问网络允许
进程: e:\downloads\资料(1)\资料.exe
目标: TCP [本机 : 1236] -> [173.252.194.254 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-12-26 16:49:43 向其他进程发送消息允许
进程: e:\downloads\资料(1)\资料.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_CLOSE
规则: [应用程序]*

2011-12-26 16:50:20 向其他进程发送消息允许
进程: e:\downloads\资料(1)\资料.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

[病毒样本] 全过杀软，盗号木马

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源