收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 VT Detection ratio: 8 / 50 1348425468.exe 多图慎入 ...
123456下一页
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[可疑文件] VT Detection ratio: 8 / 50 1348425468.exe 多图慎入 自认为能全过程拦截的入内

[复制链接]
墨家小子
 楼主| 发表于 2014-3-4 13:00:15 | 显示全部楼层
XywCloud 发表于 2014-3-4 12:54
看得到啊!
等下可就只有截图了。
log的话不一定有

我去 这么牛么 那你截全套高清图啊
回复

举报

XywCloud
发表于 2014-3-4 13:12:05 | 显示全部楼层
bav+巡警主防全程多图大赏~高清的哦~
可惜的是,在这两次测试间隔(之前测过一次,没有记录下来),bav云把一个文件入库了。。。于是主防在程序运行之后直接予以封杀。













本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Miostartos + 1 高清无码好评

查看全部评分

回复

举报

XywCloud
发表于 2014-3-4 13:34:14 | 显示全部楼层
@墨家小子
高清、log全都满足你了,赶快把RQ交出来!!!
回复

举报

Luca.l
发表于 2014-3-4 13:41:29 | 显示全部楼层
Q管秒了最后一个,另外两个安全未知,虚拟机坏了,不敢双击,等弄好了再试一次!
回复

举报

hddu
发表于 2014-3-4 13:58:16 | 显示全部楼层
被标题吓破了胆,连滚带爬慌不择路抱头逃窜,恨爹娘没有给俺弄条一步百米的长毛腿。
回复

举报

墨家小子
 楼主| 发表于 2014-3-4 14:02:21 | 显示全部楼层
XywCloud 发表于 2014-3-4 13:34
@墨家小子
高清、log全都满足你了,赶快把RQ交出来!!!

那个ie写启动项是在你前面几部都拦截的前提下弹窗提示的吗?
回复

举报

墨家小子
 楼主| 发表于 2014-3-4 14:03:29 | 显示全部楼层
hddu 发表于 2014-3-4 13:58
被标题吓破了胆,连滚带爬慌不择路抱头逃窜,恨爹娘没有给俺弄条一步百米的长毛腿。

我靠 忘记你在xp下的无敌EQ了,失败啊
回复

举报

XywCloud
发表于 2014-3-4 16:56:35 | 显示全部楼层
墨家小子 发表于 2014-3-4 14:02
那个ie写启动项是在你前面几部都拦截的前提下弹窗提示的吗?

全部允许。
回复

举报

qftest
发表于 2014-3-4 16:56:35 | 显示全部楼层
本帖最后由 qftest 于 2014-3-4 17:04 编辑

1844534592.avg.exe



日期        应用程序        行为        目标
2014-03-04 14:42:16         C:\测试\1844534592.avg\1844534592.avg.exe         创建进程, 可疑病毒         C:\测试\1844534592.avg\1844534592.avg.exe
2014-03-04 14:42:31         C:\测试\1844534592.avg\1844534592.avg.exe         创建进程, 可疑病毒         C:\测试\1844534592.avg\1844534592.avg.exe
2014-03-04 14:42:35         C:\测试\1844534592.avg\1844534592.avg.exe         创建进程, 可疑病毒         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe
2014-03-04 14:42:44         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe         创建进程, 可疑病毒         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe
2014-03-04 14:42:51         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe         修改文件         C:\users\kafan\appdata\roaming\76754\svchost.exe
2014-03-04 14:43:03         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe         创建进程         C:\windows\SYSTEM32\cmd.exe
2014-03-04 14:43:07         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe         创建进程         C:\Windows\SysWOW64\cmd.exe
2014-03-04 14:43:14         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe         创建进程         C:\Windows\SysWOW64\cmd.exe
2014-03-04 14:43:20         C:\Users\Kafan\AppData\Local\Temp\NHRN92.exe         创建进程, 可疑病毒         C:\Users\Kafan\appdata\roaming\76754\svchost.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\cacls.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\cacls.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\cacls.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\CACLS.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\cacls.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\cacls.exe
2014-03-04 14:43:23         C:\Windows\SysWOW64\cmd.exe         拦截文件         C:\windows\SysWOW64\cacls.exe
2014-03-04 14:43:26         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         创建进程         C:\Users\Kafan\appdata\roaming\76754\svchost.exe
2014-03-04 14:43:29         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         修改文件         C:\测试\1844534592.avg\per
2014-03-04 14:43:30         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         创建进程         C:\Windows\SysWOW64\sc.exe
2014-03-04 14:43:32         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         创建进程         C:\windows\SYSTEM32\regini.exe
2014-03-04 14:43:34         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         修改文件         \Device\Afd\Endpoint
2014-03-04 14:43:35         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         创建进程         C:\Windows\SysWOW64\regini.exe
2014-03-04 14:43:38         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         修改文件         \Device\Nsi
2014-03-04 14:43:42         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         访问COM接口         C:\Windows\System32\svchost.exe
2014-03-04 14:43:45         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run
2014-03-04 14:43:46         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\x86kernel2
2014-03-04 14:43:47         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         修改文件         C:\测试\1844534592.avg\perper
2014-03-04 14:43:50         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         创建进程         C:\windows\SYSTEM32\regini.exe
2014-03-04 14:43:53         C:\Users\Kafan\AppData\Roaming\76754\svchost.exe         创建进程         C:\Windows\SysWOW64\regini.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
2014-03-04 14:45:03         C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe         拦截文件         C:\Windows\SysWOW64\cacls.exe
报告结束



1346500800.exe

进程:



启动项:



外连:




事件日志:



2014-03-04 15:01:21         C:\测试\1346500800\1346500800.exe         创建进程         C:\测试\1346500800\1346500800.exe
2014-03-04 15:01:25         C:\测试\1346500800\1346500800.exe         修改文件         C:\测试\1346500800\jhProtominer.exe
2014-03-04 15:01:28         C:\测试\1346500800\1346500800.exe         修改文件         C:\Users\Kafan\AppData\Roaming\1346500800.exe
2014-03-04 15:01:33         C:\测试\1346500800\1346500800.exe         创建进程         C:\Windows\System32\reg.exe
2014-03-04 15:01:36         C:\测试\1346500800\1346500800.exe         创建进程         C:\Windows\SysWOW64\cmd.exe
2014-03-04 15:01:38         C:\测试\1346500800\1346500800.exe         修改文件         C:\Users\Kafan\AppData\Roaming\jhProtominer.exe
2014-03-04 15:01:41         C:\Windows\System32\reg.exe         创建进程         C:\Windows\System32\conhost.exe
2014-03-04 15:01:42         C:\测试\1346500800\1346500800.exe         创建进程         C:\windows\SYSTEM32\cmd.exe
2014-03-04 15:01:44         C:\Windows\System32\reg.exe         创建进程         C:\windows\system32\reg.exe
2014-03-04 15:01:45         C:\测试\1346500800\1346500800.exe         创建进程         C:\Windows\SysWOW64\cmd.exe
2014-03-04 15:01:47         C:\Windows\System32\reg.exe         创建进程         C:\Windows\SysWOW64\reg.exe
2014-03-04 15:01:50         C:\Windows\SysWOW64\cmd.exe         创建进程         C:\Windows\System32\conhost.exe
2014-03-04 15:01:52         C:\Windows\SysWOW64\reg.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run
2014-03-04 15:01:53         C:\Windows\SysWOW64\reg.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\Load
2014-03-04 15:01:56         C:\Windows\SysWOW64\cmd.exe         创建进程         C:\Users\Kafan\AppData\Roaming\jhProtominer.exe
2014-03-04 15:01:58         C:\Users\Kafan\AppData\Roaming\jhProtominer.exe         修改文件         \Device\Nsi
2014-03-04 15:02:00         C:\Users\Kafan\AppData\Roaming\jhProtominer.exe         访问COM接口         C:\Windows\System32\svchost.exe
2014-03-04 15:02:02         C:\Users\Kafan\AppData\Roaming\jhProtominer.exe         修改文件         \Device\Afd\Endpoint
2014-03-04 15:07:08         C:\VSE_COMODO\PCHunter_free\PCHunter64.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
报告结束


提取到的1346500800.exe衍生物:




1348425468.exe

事件日志:




2014-03-04 15:18:37         C:\测试\1348425468\1348425468.exe         创建进程, 可疑病毒         C:\测试\1348425468\1348425468.exe
2014-03-04 15:18:42         C:\测试\1348425468\1348425468.exe         修改文件, 可疑病毒         C:\ProgramData\openoffic0
2014-03-04 15:18:48         C:\测试\1348425468\1348425468.exe         修改文件, 可疑病毒         C:\ProgramData\openoffic0\0003d8dd.txt
2014-03-04 15:18:52         C:\测试\1348425468\1348425468.exe         修改文件         C:\测试\1348425468\1348425468.exe
2014-03-04 15:18:56         C:\测试\1348425468\1348425468.exe         修改文件         C:\ProgramData\openoffic0\safpdndnn.exe
2014-03-04 15:18:57         C:\测试\1348425468\1348425468.exe         修改文件         C:\ProgramData\openoffic0\safpdndnn.exe:Zone.Identifier
2014-03-04 15:19:00         C:\测试\1348425468\1348425468.exe         修改注册表项         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safpdndnn.exe
2014-03-04 15:19:02         C:\测试\1348425468\1348425468.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CG1
2014-03-04 15:19:03         C:\测试\1348425468\1348425468.exe         修改注册表项         HKUS\Software\Classes\CLSID
2014-03-04 15:19:05         C:\测试\1348425468\1348425468.exe         修改注册表项         HKUS\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}
2014-03-04 15:19:07         C:\测试\1348425468\1348425468.exe         修改注册表项         HKUS\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5
2014-03-04 15:19:08         C:\测试\1348425468\1348425468.exe         修改注册表项         HKUS\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CG1
2014-03-04 15:19:09         C:\测试\1348425468\1348425468.exe         修改注册表项         HKUS\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CG1\BID
2014-03-04 15:19:11         C:\测试\1348425468\1348425468.exe         创建进程         C:\windows\SysWOW64\WerFault.exe
2014-03-04 15:19:13         C:\测试\1348425468\1348425468.exe         访问COM接口         LocalSecurityAuthority.Debug
2014-03-04 15:21:09         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKLM\SYSTEM\ControlSet???\Services\SSDPSRV
2014-03-04 15:21:15         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
2014-03-04 15:21:16         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500
2014-03-04 15:21:17         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
2014-03-04 15:21:18         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500
2014-03-04 15:21:20         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
2014-03-04 15:21:20         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500
2014-03-04 15:21:21         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
2014-03-04 15:21:22         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2500
2014-03-04 15:21:23         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CS1
2014-03-04 15:21:24         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CW1
2014-03-04 15:21:25         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
2014-03-04 15:21:26         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CW1\1368
2014-03-04 15:21:26         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\openoffic
2014-03-04 15:21:27         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2014-03-04 15:21:54         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\openoffic
2014-03-04 15:21:57         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CG1
2014-03-04 15:21:59         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\explorer.exe
2014-03-04 15:22:35         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\Software\Classes\CLSID\{01A26F53-A65C-8548-BF31-41FB570B0F56}\10E002F5\CG1\GLA
2014-03-04 15:22:42         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\System32\VBoxTray.exe
2014-03-04 15:22:47         C:\Windows\SysWOW64\WerFault.exe         修改文件         \Device\Afd\Endpoint
2014-03-04 15:22:49         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files (x86)\goagent\local\goagent.exe
2014-03-04 15:22:52         C:\Windows\SysWOW64\WerFault.exe         修改文件         \Device\Nsi
2014-03-04 15:22:54         C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\ProgramData\openoffic0\safpdndnn.exe
2014-03-04 15:22:54         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
2014-03-04 15:22:56         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Windows\System32\conhost.exe
2014-03-04 15:22:59         C:\Windows\SysWOW64\WerFault.exe         访问COM接口         C:\Windows\System32\svchost.exe
2014-03-04 15:23:01         C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\ProgramData\openoffic0
2014-03-04 15:23:04         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files (x86)\goagent\local\python27.exe
2014-03-04 15:23:06         C:\Windows\SysWOW64\WerFault.exe         修改文件         C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat
2014-03-04 15:23:08         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
2014-03-04 15:23:10         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
2014-03-04 15:23:12         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
2014-03-04 15:23:13         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
2014-03-04 15:23:14         C:\Windows\SysWOW64\WerFault.exe         修改注册表项         HKUS\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
2014-03-04 15:23:21         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
2014-03-04 15:23:28         C:\Windows\SysWOW64\WerFault.exe         访问内存         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe



修改启动项注册表







访问explorer内存



提权



外连




有自保,自动生成新进程,难以结束:
























最后只好使用COMODO进程管理器的“终止并拦截”











再飞快的把cmd.exe goagent.exe等等进程全部“终止并拦截”,才最终结束


提取到的衍生物:




VSE禁运就简单多了。。http://bbs.kafan.cn/forum.php?mo ... 04&pid=30592228

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 眼已瞎,以后分成三个帖子啊 把我都看傻了

查看全部评分

回复

举报

墨家小子
 楼主| 发表于 2014-3-4 18:10:48 | 显示全部楼层
XywCloud 发表于 2014-3-4 16:56
全部允许。

哈哈哈 这个词好亲切
注入你还允许啊 拦截看看什么情况
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-13 18:46 , Processed in 0.098015 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表