邮箱发来的

显示全部楼层 · 发表于 2012-3-1 21:45:18

360卫士miss
熊猫云miss

显示全部楼层 · 发表于 2012-3-1 22:18:26

[size=0.83em]2012-3-1 21:51 上传
下载附件 [size=0.83em](40.82 KB)

不入组行为

2012/3/1 21:47:29 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\users\sanhu35\desktop\资料\2012相册.exe
命令行: "C:\Users\sanhu35\Desktop\资料\2012相册.exe"
规则: [应用程序]c:\windows\explorer.exe

2012/3/1 21:47:29 结束其他进程阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: d:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]*

2012/3/1 21:47:30 修改注册表值阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
值: C:\Users\sanhu35\Desktop\资料\2012相册.exe
规则: [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*

2012/3/1 21:47:48 向其他进程发送消息 (15) 阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: e:\program files\faststone capture\fscapture.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012/3/1 21:47:48 向其他进程发送消息阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*
=========================

入病毒测试组行为

2012/3/1 21:52:23 创建新进程允许进程: c:\windows\explorer.exe
目标: c:\users\sanhu35\desktop\资料\2012相册.exe
命令行: "C:\Users\sanhu35\Desktop\资料\2012相册.exe"
规则: [应用程序]c:\windows\explorer.exe

加载病毒DLL
2012/3/1 21:52:23 加载动态链接库允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: c:\users\sanhu35\desktop\资料\kwlogsvr.dll
规则: [应用程序组]『询问』病毒测试 -> [动态链接库].\*

添加自启动
2012/3/1 21:52:27 修改注册表值阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
值: C:\Users\sanhu35\Desktop\资料\2012相册.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表组]自动运行 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*

想QQ发消息阻止。
2012/3/1 21:53:11 向其他进程发送消息 (4) 阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序组]『询问』病毒测试

允许发消息后的行为
2012/3/1 21:53:33 向其他进程发送消息 (11) 允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: d:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序组]『询问』病毒测试

底层键盘阻止
2012/3/1 21:53:54 底层键盘操作阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
规则: [应用程序组]『询问』病毒测试

2012/3/1 21:54:04 向其他进程发送消息阻止
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: c:\windows\explorer.exe
消息: WM_GETTEXT
规则: [应用程序组]『询问』病毒测试

允许底层键盘后的行为

2012/3/1 21:55:09 底层键盘操作 (8) 允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
规则: [应用程序组]『询问』病毒测试 -> [应用程序]c:\users\sanhu35\desktop\资料\2012相册.exe

2012/3/1 21:56:09 创建注册表项允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\2012相册_RASAPI32
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/3/1 21:56:16 修改注册表值允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\2012相册_RASAPI32\EnableFileTracing
值: 0x00000000(0)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

当QQ登陆时输入密码，木马立即联网
2012/3/1 21:56:46 访问网络允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: TCP [本机 : 49471] -> [127.0.0.1 : 44080]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/3/1 21:56:51 向其他进程发送消息允许
进程: c:\users\sanhu35\desktop\资料\2012相册.exe
目标: c:\windows\system32\dwm.exe
消息: WM_GETTEXT
规则: [应用程序组]『询问』病毒测试

防范规则：
禁止陌生程序向信任进程发消息
禁止陌生程序底层键盘控制
禁止陌生程序添加自自动项

显示全部楼层 · 发表于 2012-3-1 23:12:59

红伞miss，to

显示全部楼层 · 发表于 2012-3-2 01:05:27

STOP! Bitdefender blocked this web page.

The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... 0ODc1fDEyMzI3MDQ%3D
Detected viruses: Trojan.PWS.QQPass.NIC

Access from your browser has been blocked.

Take me back to safety

显示全部楼层 · 发表于 2012-3-2 22:16:17

小A7拦截

显示全部楼层 · 发表于 2012-3-2 22:51:01

360主防秒杀

[可疑文件] 邮箱发来的

评分