刚才被一个敲竹杠双击锁了机子

学雷锋做人

pal家族 发表于 2015-11-1 16:35
66666
可是为什么我运行很多次都见着有啥动作啊

不排除有其他原因

windows7爱好者

学雷锋做人 发表于 2015-11-1 13:53
非广告，见四楼
http://bbs.kafan.cn/thread-1860828-1-1.html

感谢采用我的样本

天耀群星

这木马修改系统组策略设置、安全模式配置项。调用cmd命令运行net来修改账户。

2015/11/3 17:50:45    加载动态链接库    阻止
进程: c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe
目标: c:\windows\system32\samcli.dll
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe -> [动态链接库]c:\windows\system32\samcli.dll

2015/11/3 17:50:49    修改文件    允许
进程: c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe
目标: F:\1.exe
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [文件组]秒杀-根目录可执行

2015/11/3 17:50:50    加载动态链接库    允许
进程: f:\1.exe
目标: c:\windows\system32\srvcli.dll
规则: [应用程序组]待测试组-未知程序       ????? -> [动态链接库]c:\windows\system32\srvcli.dll

2015/11/3 17:50:50    修改注册表值    阻止并结束进程
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
值: 0xffffffff(4294967295)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:50:50    创建文件    阻止
进程: c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe
目标: F:\2.MP3
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]c:\users\ljx\desktop\枪林弹雨\枪林弹雨(2).exe -> [文件]f:\; 2.mp3

2015/11/3 17:39:01    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
值: 0xffffffff(4294967295)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
值: 0xffffffff(4294967295)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:08    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:09    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:09    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:09    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:10    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:10    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:10    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:15    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\*

2015/11/3 17:39:16    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:16    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFavorites
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:16    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoPrinting
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:17    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:17    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoViewSource
值: 0x00000001(1)
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]秒杀-组策略储存位置 -> [注册表]HKEY_CURRENT_USER\Software\Policies\*

2015/11/3 17:39:17    创建注册表项    允许
进程: f:\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Interner Settings\Zones\3
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]f:\*.??? -> [注册表]HKEY_CURRENT_USER*

2015/11/3 17:39:18    修改注册表值    允许
进程: f:\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3.exe
值: F:\1.exe
规则: [应用程序组]待测试组-未知程序       ????? -> [应用程序]f:\*.??? -> [注册表]HKEY_LOCAL_MACHINE*

2015/11/3 17:39:29    创建新进程    阻止并结束进程
进程: f:\1.exe
目标: c:\windows\system32\net.exe
命令行: net user administrator 10076230335.5
规则: [应用程序组]COM过滤、dll劫持过滤 二道滤网  ——— ！！ -> [子应用程序]%系统程序-绝对禁运《防被木马利用》 -> [应用程序]c:\windows\system32\net.exe


2015/11/3 17:55:53    删除注册表值    阻止并结束进程
进程: f:\1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [注册表组]绝对秒杀——安全模式等 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

笑引鬼影差点死

我这种拿微软账户的人实机点敲竹杠还是没事------你有本事去微软要密码

xiaofeizei

230f4 发表于 2015-10-29 21:17
Thank you for contacting Bitdefender Customer Care.

This is an automated reply to confirm th ...

请问你这个是哪个在线扫描？

230f4

xiaofeizei 发表于 2015-12-26 23:13
请问你这个是哪个在线扫描？

Virustotal

230f4

2501238377

230f4 发表于 2015-12-26 23:47

层主这个页面是哪里的？
我联系BD官方回复好慢啊，样本一周后才给我回复。我是直接发邮件带附件给他的。
层主怎么反馈的？^_^

230f4

2501238377 发表于 2015-12-27 18:55
层主这个页面是哪里的？
我联系BD官方回复好慢啊，样本一周后才给我回复。我是直接发邮件带附件给他的。 ...

那是右键扫描窗口吧？

我是网页上报，连回复都没有

2501238377

230f4 发表于 2015-12-27 19:06
那是右键扫描窗口吧？

我是网页上报，连回复都没有

刚刚看到你之前把邮件内容截图了=_=
而且时间跟样本帖子发的时间相差很小。-_-#

BD工程师回复真的好慢