据说是新技术的远控看看各大杀毒还能不能拦截

显示全部楼层 · 发表于 2014-7-29 20:06:22

avast全自动沙箱自动分析杀衍生物

@webkiller 能防住
@小柯安全算拦截吗，没有被控制

显示全部楼层 · 发表于 2014-7-29 20:44:00

过卡巴、bd、熊猫，
运行后弹出这个

还有ag拦截了bat，算是拦住了吗？

显示全部楼层 · 发表于 2014-7-29 22:45:36

深山红叶__ 发表于 2014-7-29 17:37
原来拦一个运行bat就算拦住白加黑了，太搞笑，不予置评。

那几个bat到底干什么用的？

显示全部楼层 · 发表于 2014-7-29 23:53:56

俺是来造谣的。

2014-07-29 23:46:31 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\360sldkfj\BFVKanDianYing.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "qiaoi.bat"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2014-07-29 23:46:33 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\QQ图片截图.lnk
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2014-07-29 23:46:35 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\QQ图片截图.jpg
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2014-07-29 23:46:37 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\360sldkfj\2.zp
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2014-07-29 23:46:38 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\QQ图片截图.jpg
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2014-07-29 23:46:40 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\360sldkfj\uqdate.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2014-07-29 23:46:40 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\qiaojy.tmp
命令行:x -y -o+ -pp C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp\qiaoqiao.tmp qiaoi.bat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp\
触发规则:所有程序规则->其它程序设置->*\Temp\*

2014-07-29 23:46:40 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
命令行:/C CALL C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp\qiaoi.bat
触发规则:所有程序规则->其它程序设置->*\Temp\*

2014-07-29 23:46:45 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im cmd.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2014-07-29 23:46:46 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\360sldkfj\BFVKanDianYing.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\360sldkfj\qiao.bat"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2014-07-29 23:46:46 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:所有程序规则->其它程序设置->*\Temp\*

2014-07-29 23:46:48 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\winst\
触发规则:所有程序规则->全局设置->%SystemDrive%\*\

2014-07-29 23:46:48 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\qiaojy.tmp
命令行:x -y -o+ -pp C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp\qiaoqiao.tmp BFVKanDianYing.ini C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxupdate\app\BFVKanDianYing\
触发规则:所有程序规则->其它程序设置->*\Temp\*

2014-07-29 23:46:48 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:46:50 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\图片截图101\图片截图\360sldkfj\qiao.bat
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->*\*.bat

2014-07-29 23:46:52 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:46:57 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\qiaojy.tmp
命令行:x -y -o+ -pp C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp\qiaoqiao.tmp qq.tmp C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxupdate\app\BFVKanDianYing\
触发规则:所有程序规则->其它程序设置->*\Temp\*

2014-07-29 23:46:57 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:47:01 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\qiaojy.tmp
命令行:x -y -o+ -pp C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\temp\qiaoqiao.tmp bhdll.tmp c:\winst\
触发规则:所有程序规则->其它程序设置->*\Temp\*

2014-07-29 23:47:01 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:47:05 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:47:09 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\suchost.exe
命令行:-n 5 127.0.0.1
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:47:21 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/f /im ksafetray.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2014-07-29 23:47:21 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v qqpcnrxnkb /d C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxupdate\app\BFVKanDianYing\BFVKanDianYing.exe /f
触发规则:所有程序规则->系统程序设置->*\reg.exe

2014-07-29 23:47:21 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\reg.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
注册表名称:qqpcnrxnkb
触发规则:应用程序规则->自动运行->%windir%\*->*\RunOnce

2014-07-29 23:47:21 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\tasklist.exe
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:21 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\find.exe
命令行:/i "kxetray.exe"
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:21 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\tasklist.exe
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:21 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\find.exe
命令行:/i "360tray.exe"
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\tasklist.exe
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\find.exe
命令行:/i "qqpctray.exe"
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\tasklist.exe
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\find.exe
命令行:/i "avp.exe"
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\tasklist.exe
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\WINDOWS\system32\find.exe
命令行:/i "RsTray.exe"
触发规则:应用程序规则->程序->?:\*

2014-07-29 23:47:23 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\temp\suchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2014-07-29 23:47:23 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:23 修改其它进程内存    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2014-07-29 23:47:35 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\8a.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del 8a.exe
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

显示全部楼层 · 发表于 2014-7-29 23:59:24

火绒卡巴被过！

显示全部楼层 · 发表于 2014-7-30 00:09:17

过小红伞，已上报。

显示全部楼层 · 发表于 2014-7-30 01:04:46

fuzhk 发表于 2014-7-29 22:45
那几个bat到底干什么用的？

HIPS运行一遍，或者直接看hddu的Log。

显示全部楼层 · 发表于 2014-7-30 18:12:32

哎。刚看到公司的一台电脑被远程了。没敢问。当时就我看见。而且我是新来的。万一没事就是找事！！

显示全部楼层 · 发表于 2014-7-30 21:25:32

zxcqwe 发表于 2014-7-29 20:06
avast全自动沙箱自动分析杀衍生物

额.我高级版不知道为毛没杀............厉害,还装了个虚拟机专门试毒额.

显示全部楼层 · 发表于 2014-7-30 21:32:38

webkiller 发表于 2014-7-30 21:25
额.我高级版不知道为毛没杀............厉害,还装了个虚拟机专门试毒额.

这是旧版avast
看弹窗像7
还有这是双击杀的

[病毒样本] 据说是新技术的远控看看各大杀毒还能不能拦截

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 据说是新技术的远控 看看各大杀毒还能不能拦截

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 据说是新技术的远控看看各大杀毒还能不能拦截