收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 cpl病毒
1234下一页
返回列表 发新帖
楼主: zhuyifan2007
 收起左侧

[病毒样本] cpl病毒

  [复制链接]
hddu
发表于 2012-3-12 11:03:01 | 显示全部楼层
2012-03-12 11:01:57    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:01:57    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:01:58    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop avg9wd
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:01:58    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGWD
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:01:58    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:01:58    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:01:59    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE avg9wd
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:00    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE AVGWD
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:00    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "avast! Web Scanner"
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:00    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "avast! Mail Scanner"
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:00    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "aswUpdSv
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:00    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:00    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:00    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:00    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:01    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\adobe-flash-player.bat
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:10    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\cpl_virus\adobe-flash-player.cpl
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*


2012-03-12 11:02:11    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:11    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:12    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop avg9wd
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:12    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGWD
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:12    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:stop AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:13    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE AVGIDSAgent
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:13    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE avg9wd
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:14    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:DELETE AVGWD
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:14    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "avast! Web Scanner"
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:15    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "avast! Mail Scanner"
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:16    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:STOP "aswUpdSv
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2012-03-12 11:02:16    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:16    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:16    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\CLSID\{*}*


2012-03-12 11:02:17    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:File
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

回复

举报

留侯
发表于 2012-3-12 14:23:20 | 显示全部楼层
大蜘蛛:
cpl_virus\adobe-flash-player.cpl - infected with Trojan.PWS.Banker.63695
回复

举报

zaqwe3008
发表于 2012-5-6 13:51:56 | 显示全部楼层
2012-5-6 13:48:07    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
规则: [注册表组]保护-优先保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*

2012-5-6 13:48:07    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}
规则: [注册表组]保护-优先保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*

2012-5-6 13:48:07    创建注册表项    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\InprocServer32
规则: [注册表组]保护-优先保护 -> [注册表]*\SOFTWARE\Classes\CLSID\*; InprocServer32

2012-5-6 13:48:07    创建文件夹    阻止
进程: c:\windows\system32\rundll32.exe
目标: C:\Arquivos de programas
规则: [应用程序组]系统-非系统程序(高限制) -> [文件]*

2012-5-6 13:48:09    创建新进程    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\adobe-flash-player.bat
规则: [应用程序组]系统-非系统程序(高限制) -> [应用程序]c:\windows\system32\rundll32.exe

2012-5-6 13:48:52    删除文件     阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Downloads\adobe-flash-player.cpl
规则: [应用程序组]系统-非系统程序(高限制) -> [文件]*

bat  内容:1
Erase "C:\Downloads\adobe-flash-player.cpl"
If exist "C:\Downloads\adobe-flash-player.cpl" Goto 1
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\80320120325.cpl
Erase "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\adobe-flash-player.bat"


回复

举报

二叔
发表于 2012-5-6 14:17:37 | 显示全部楼层
nod32杀
回复

举报

kofgame520
头像被屏蔽
发表于 2012-5-6 15:19:01 | 显示全部楼层
程序:
C:\USERS\ADMINISTRATOR.PC-20120504ORTD\APPDATA\LOCAL\TEMP\RAR$DIB0.781\ADOBE-FLASH-PLAYER.CPL
木马程序生成以下文件:
1) C:\USERS\ADMINISTRATOR.PC-20120504ORTD\APPDATA\LOCAL\TEMP\80320120325.CPL
是否删除木马程序及其衍生物?
回复

举报

qianyuqx
头像被屏蔽
发表于 2012-5-8 16:38:05 | 显示全部楼层
mse kill
回复

举报

wxper
发表于 2012-5-14 09:07:07 | 显示全部楼层
G-Data表示,双引擎都报,我是不是来晚了?
回复

举报

ansen98
发表于 2012-5-14 09:12:33 | 显示全部楼层
webroot报了。不过要解压缩之后才报
回复

举报

656635525
发表于 2012-5-14 21:38:48 | 显示全部楼层
蓝天二号 发表于 2012-3-10 15:40
AVG

看行为要干掉AVG   求双击
回复

举报

656635525
发表于 2012-5-14 21:39:43 | 显示全部楼层
本帖最后由 656635525 于 2012-5-14 21:41 编辑

连了   ....
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 10:53 , Processed in 0.095032 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表