VT Detection ratio: 3 / 48 yuhmdtmgbemaspiufey.bfg 锁屏挂马

显示全部楼层 · 发表于 2013-9-27 11:38:01

消停发表于 2013-9-27 09:01
文件名: yuhmdtmgbemaspiufey.exe
威胁名称: SONAR.Module!gen3
完整路径: 不可用

能杀了？

显示全部楼层 · 发表于 2013-9-27 11:40:01

墨家小子发表于 2013-9-27 11:38
能杀了？

一直都能杀掉一部分！

显示全部楼层 · 发表于 2013-9-27 11:44:15

类型:包含木马的压缩包文件
描述:包含至少 1 个木马程序
yuhmdtmgbemaspiufey.bfg : Win32/Trojan.Multi.daf

扫描引擎:云安全引擎
位置:D:\下载文件存储文件夹\yuhmdtmgbemaspiufey.rar
处理建议:隔离文件

显示全部楼层 · 发表于 2013-9-27 12:33:22

半小时过去了，还不锁屏，失败啊。

2013-09-27 12:16:15 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\qidoclz8e.plz
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%SystemDrive%\*

2013-09-27 12:16:18 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\qidoclz8e.plz,GL300
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%windir%\system32\rundll32.exe

2013-09-27 12:16:19 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\e8zlcodiq.pff
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%SystemDrive%\*

2013-09-27 12:16:25 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\e8zlcodiq.ctrl
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%SystemDrive%\*

2013-09-27 12:16:25 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\e8zlcodiq.lnk
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->?:\Documents and Settings\*\*菜单\程序\启动*\*

2013-09-27 12:16:25 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\e8zlcodiq.bat
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->?:\Documents and Settings\*\*菜单\程序\启动*\*

2013-09-27 12:17:47 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Documents and Settings\All Users\Application Data\e8zlcodiq.reg
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%SystemDrive%\*

2013-09-27 12:17:50 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:-s C:\DOCUME~1\ALLUSE~1\APPLIC~1\e8zlcodiq.reg
触发规则:高优先规则->运行reg文件设置->%windir%\regedit.exe

2013-09-27 12:17:50 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\regedit.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters
注册表名称:ServiceDll
更改后:C:\DOCUME~1\ALLUSE~1\APPLIC~1\qidoclz8e.plz
更改前:%SystemRoot%\system32\wbem\WMIsvc.dll
触发规则:应用程序规则->regedit程序->%windir%\regedit.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\*\Parameters

2013-09-27 12:18:32 关闭/重启系统    操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe

触发规则:所有程序规则->*

2013-09-27 12:19:15 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\DOCUME~1\ALLUSE~1\APPLIC~1\qidoclz8e.plz,GL302
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%windir%\system32\rundll32.exe

2013-09-27 12:19:17 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%ProgramFiles%\Internet Explorer\iexplore.exe

显示全部楼层 · 发表于 2013-9-28 14:08:39

win8.1 WD轻松干掉！

[可疑文件] VT Detection ratio: 3 / 48 yuhmdtmgbemaspiufey.bfg 锁屏挂马