收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 管家论坛这人真牛逼,360和金山又玩蛋去了...
123下一页
返回列表 发新帖
楼主: vm001
 收起左侧

[病毒样本] 管家论坛这人真牛逼,360和金山又玩蛋去了...

[复制链接]
3801187
发表于 2013-11-8 21:38:58 | 显示全部楼层
2013-11-8 21:36:40        c:\windows\system32\rundll32.exe        加载动态链接库        c:\documents and settings\administrator\桌面\kse\kse(先解压文件夹)\metay.dll        允许        [应用程序]* -> [动态链接库]*\桌面\*       
2013-11-8 21:36:42        c:\windows\system32\rundll32.exe        创建新进程        c:\program files\acdsee5\acdsee5.exe        允许        [应用程序]*        命令行: "C:\Program Files\ACDSee5\ACDSee5.exe"  "C:\Documents and Settings\Administrator\桌面\Kse\Kse(先解压文件夹)\Metay.jpg"
2013-11-8 21:36:46        c:\windows\system32\rundll32.exe        创建文件        C:\Program Files\Metay\MetayMe.dll        阻止        [应用程序组]{受限}系统程序 -> [文件组]全局高危文件       
回复

举报

追魂
发表于 2013-11-8 21:39:50 | 显示全部楼层
什么东西 下载来看看
回复

举报

蓝天二号
发表于 2013-11-8 22:02:04 | 显示全部楼层
诺顿
文件名: patsms.dll
威胁名称: Suspicious.Cloud.7.F
完整路径: c:\users\mr-chen\desktop\新建文件夹\vpv(先解压文件夹)\patsms.dll

____________________________



详细信息
未知的社区使用情况,  未知的文件存在时间,  风险 高





原始
下载自
 未知





活动
已执行的操作: 已执行的操作: 1



____________________________



在电脑上的创建时间 
不可用


上次使用时间 
2013/11/8 ( 22:01:48 )


启动项目 



已启动 



____________________________


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。


此文件具有高风险。

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。



____________________________



来源: 外部介质



____________________________

文件操作

文件: c:\users\mr-chen\desktop\新建文件夹\vpv(先解压文件夹)\ patsms.dll 已删除
____________________________


文件指纹 - SHA:
0b18182f307305766de82bf9dd84e54d815d3dd462ed608b1b5f8f09ea01a172
文件指纹 - MD5:
不可用
回复

举报

hddu
发表于 2013-11-8 23:07:07 | 显示全部楼层
2013-11-08 22:11:05    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:F:\virus\Vpv\Vpv(先解压文件夹)\PatSms.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2013-11-08 22:11:07    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\Common Files\PatSms.inf
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%ProgramFiles%\*


2013-11-08 22:11:08    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\PatSms
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%ProgramFiles%\*


2013-11-08 22:11:08    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\PatSms\PatSms.INI
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%ProgramFiles%\*


2013-11-08 22:11:08    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\PatSms\PatSmsYour.dll
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%ProgramFiles%\*


2013-11-08 22:11:12    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\Program Files\PatSms\PatSmsYour.dll",PatSmsOnce
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%windir%\system32\rundll32.exe


2013-11-08 22:11:16    安装全局钩子      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\DINPUT8.dll
钩子类型:14
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->?:\*


2013-11-08 22:12:15    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Update
触发规则:应用程序规则->自动运行->%windir%\*->*\Run*


2013-11-08 22:12:15    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
注册表名称:GrpConv
触发规则:应用程序规则->自动运行->%windir%\*->*\RunOnce


2013-11-08 22:12:15    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\runonce.exe
命令行:-r
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\*.exe


2013-11-08 22:12:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\grpconv.exe
注册表路径:HKEY_CLASSES_ROOT\.grp
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2013-11-08 22:12:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\grpconv.exe
注册表路径:HKEY_CLASSES_ROOT\MSProgramGroup\Shell\Open\Command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command


2013-11-08 22:13:15    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\Program Files\PatSms\PatSms.dll
触发规则:应用程序规则->rundll32设置->%windir%\system32\rundll32.exe->%ProgramFiles%\*

回复

举报

jayavira
发表于 2013-11-9 06:23:01 | 显示全部楼层
to kl
回复

举报

dongwenqi
发表于 2013-11-9 08:05:43 | 显示全部楼层
jayavira 发表于 2013-11-9 06:23
to kl

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Trojan.Win32.Reboot.ab

Best Regards,
Sergey Yunakovsky

Malware Analyst
Kaspersky Lab
回复

举报

jayavira
发表于 2013-11-9 08:07:45 | 显示全部楼层
dongwenqi 发表于 2013-11-9 08:05
Hello,

New malicious software was found in the attached file. Its detection will be included in ...

我也正想发呢
一个小时之前就回复了,只是到现在才看到啊
回复

举报

dongwenqi
发表于 2013-11-9 08:14:32 | 显示全部楼层
jayavira 发表于 2013-11-9 08:07
我也正想发呢
一个小时之前就回复了,只是到现在才看到啊

哈哈哈,抢你生意发帖
回复

举报

jayavira
发表于 2013-11-9 08:17:44 | 显示全部楼层
dongwenqi 发表于 2013-11-9 08:14
哈哈哈,抢你生意发帖

无妨
只要入库就好
回复

举报

keaidejia5
发表于 2013-11-9 13:04:22 | 显示全部楼层
不知道有没有avast报?
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-2 08:13 , Processed in 0.068831 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表