深夜来一个，熊猫烧香型

HEMM

MA居然不杀这个= =

Dust-;羅錠

Your submission has been analyzed. A corresponding record has been added to the Dr.Web virus database and will be available with the next update.

Threat: Trojan.Adduser.162

Thank you for the cooperation.

ELOHIM

HEMM 发表于 2014-5-28 17:00
MA居然不杀这个= =

上报了没有呀。。MM
MA不杀超多只

HEMM

ELOHIM 发表于 2014-5-28 18:15
上报了没有呀。。MM
MA不杀超多只

木有~我只是扫着玩，平常我平常很少机会中毒，万一中了毒，清理完毕，我也是使用全盘格式化大法，反正我也经常的自己毁灭系统，重装和还原还有格式化都很频繁，所以不在乎查杀率。
我只要求占用低= =，还得好看和好玩。好吧~不妨碍我就成。
不过MA让MD每次打开都会无响应一段时间，MA排除了MD文件夹下所有.exe和所在文件夹本身还是这样，不知道是什么原理，难道是不清理，但是扫描监控照常进行？

dongwenqi

245867683 发表于 2014-5-28 09:42
全程过kis2014

已上报，等待回复

fzypc40

2014-5-28 21:28:32        c:\windows\explorer.exe        创建新进程        c:\documents and settings\administrator\桌面\熊猫烧香.exe        允许        [应用程序]c:\windows\explorer.exe        命令行: "C:\Documents and Settings\Administrator\桌面\熊猫烧香.exe"
2014-5-28 21:28:32        c:\documents and settings\administrator\桌面\熊猫烧香.exe        读文件        E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll        阻止        [文件组]隐藏磁盘 -> [文件]e:\*       
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改文件        \Device\NamedPipe\lsarpc        阻止        [文件组]命令管道 -> [文件]\device\namedpipe\*       
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        读文件        E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll        阻止        [文件组]隐藏磁盘 -> [文件]e:\*       
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        创建文件        C:\WINDOWS\system32\系统图标.ico        阻止        [文件组]只读磁盘 -> [文件]c:\*       
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon        阻止        [注册表组]图标资源 -> [注册表]*\Software\Classes\*file\DefaultIcon        值: C:\WINDOWS\system32\系统图标.ico
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bat        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.bat*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cmd        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.cmd*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.txt        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.txt*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.inf        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.inf*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_CURRENT_USER\Software\Classes\.htm        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.htm*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_CURRENT_USER\Software\Classes\.html        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.htm*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.lnk*        值: exefile
2014-5-28 21:28:33        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改注册表值        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.vbs        阻止        [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.vbs*        值: exefile
2014-5-28 21:28:35        c:\documents and settings\administrator\桌面\熊猫烧香.exe        结束其他进程        c:\windows\explorer.exe        阻止        [应用程序]* -> [目标应用程序]进程保护       
2014-5-28 21:28:37        c:\documents and settings\administrator\桌面\熊猫烧香.exe        创建新进程        c:\windows\explorer.exe        允许        [应用程序]*        命令行: explorer.exe
2014-5-28 21:28:37        c:\documents and settings\administrator\桌面\熊猫烧香.exe        创建新进程        c:\windows\system32\net.exe        阻止        [应用程序]* -> [子应用程序]『禁运』黑名单        命令行: net user administrator 123456
2014-5-28 21:28:37        c:\documents and settings\administrator\桌面\熊猫烧香.exe        创建新进程        c:\windows\system32\net.exe        阻止        [应用程序]* -> [子应用程序]『禁运』黑名单        命令行: net user 想知道密码联系:1462218042 123456 /add
2014-5-28 21:28:37        c:\documents and settings\administrator\桌面\熊猫烧香.exe        创建新进程        c:\windows\system32\net.exe        阻止        [应用程序]* -> [子应用程序]『禁运』黑名单        命令行: net localgroup administrators 想知道密码联系:1462218042 /add
2014-5-28 21:28:37        c:\documents and settings\administrator\桌面\熊猫烧香.exe        修改文件        \Device\NamedPipe\lsarpc        阻止        [文件组]命令管道 -> [文件]\device\namedpipe\*       
2014-5-28 21:28:37        c:\documents and settings\administrator\桌面\熊猫烧香.exe        读文件        E:\QvodPlayer\QvodWebBase\1.0.0.47\QvodWebBase.dll        阻止        [文件组]隐藏磁盘 -> [文件]e:\*       

欧阳宣

下载这个样本的时候GD没有任何提示，但是也没有弹出另存为的对话框，我也不知道防住或者下载了没- -

欧阳宣

0        0        0        扫描网页内容
0        0        0       
0        0        0        地址:         nj.cache.baidupcs.com
0        0        0        病毒:         Trojan.GenericKD.1696275 (引擎A)
0        0        0        状态：         访问被拒绝。

b573684723

欧阳宣 发表于 2014-5-28 22:51
下载这个样本的时候GD没有任何提示，但是也没有弹出另存为的对话框，我也不知道防住或者下载了没- -

下载了没找到文件在哪里么

欧阳宣

b573684723 发表于 2014-5-28 22:53
下载了没找到文件在哪里么

看你楼上，是杀了，但是我把交互提示关掉了- -