下载器~~

左手

2014-12-24 22:03:56    修改注册表值    阻止
进程: c:\documents and settings\administrator\桌面\专用工具.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\c:\program files\ksafe\AppData\proc_startup_perf.dat  \??\c:\program files\ksafe\AppData\proc_merge.xml  \??\c:\program files\ksafe\AppData\proc_startup_perf.dat  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsi25.tmp\
规则: [注册表组]拦截_Auto Starts -> [注册表]*\System\*ControlSet*\Control\Session Manager; PendingFileRenameOperations

幽冥の龙

1073328164 发表于 2014-12-24 20:18
原来如此，被坑了，手贱双击了，没拦住，结果QQ群上就被传了文件，一个群友悲剧了，金山毒霸没杀掉，现在 ...

我实机双击了啥都没发生。。。看了下他在临时目录生成的东西，但是自己又删掉了。。。
我还特地新建了个小号QQ建了个QQ群等它上传的。。。
难道还挑用户？

Qutianshang

幽冥の龙 发表于 2014-12-24 22:06
我实机双击了啥都没发生。。。看了下他在临时目录生成的东西，但是自己又删掉了。。。
我还特地新建了个 ...

偶在虚拟机也这样，自己生成又自己删除，难道是云端删除了数据··

1073328164

paul_guo 发表于 2014-12-24 21:37
360直接杀啊。。

那可能入库了，我这下载提示安全，双击后就弹出个捆绑软件，我阻止了，然后就中招了，唉

1073328164

幽冥の龙 发表于 2014-12-24 22:06
我实机双击了啥都没发生。。。看了下他在临时目录生成的东西，但是自己又删掉了。。。
我还特地新建了个 ...

我这的每一个群都被上传了，还好发现得早，手动都删了，是发到群共享去了，名字就是群名称+专用工具.exe

Symantec.

1073328164 发表于 2014-12-24 23:18
那可能入库了，我这下载提示安全，双击后就弹出个捆绑软件，我阻止了，然后就中招了，唉

           哈哈，看来你360不行啊，还世界第二呢，丢人

1073328164

Symantec. 发表于 2014-12-24 23:46
哈哈，看来你360不行啊，还世界第二呢，丢人

谁世界第二，谁世界第二，人家明明是宇宙第一，谁黑我家360我跟谁急

东方妖妖梦

瑞星MISS

幽冥の龙

1073328164 发表于 2014-12-24 23:20
我这的每一个群都被上传了，还好发现得早，手动都删了，是发到群共享去了，名字就是群名称+专用工具.exe

今天虚拟机测了下 又能下载了，安装了一大堆东西……
其中还释放了一个病毒，不知道上传群是不是和这个有关
不过我虚拟机里还是没看到这一幕，不知道是不是条件不够……
衍生物

1073328164

幽冥の龙 发表于 2014-12-25 11:29
今天虚拟机测了下 又能下载了，安装了一大堆东西……
其中还释放了一个病毒，不知道上传群是不是和这个 ...

唉，衍生物还是过360和AVG，昨天双击样本360拦截了捆绑软件的安装，可惜没拦住QQ群上的复制，我群友估计也是双击了之后被安装了捆绑软件所以卡机了