收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 SoundMan病毒
123
返回列表 发新帖
楼主: moonsilver
 收起左侧

[病毒样本] SoundMan病毒

[复制链接]
qcqyt
发表于 2008-4-9 23:51:57 | 显示全部楼层
2008-04-09 22:50:14    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F


2008-04-09 22:50:22    修改文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cacls.exe
文件路径:C:\WINDOWS\system32\cmd.exe


2008-04-09 22:50:23    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cacls.exe
文件路径:C:\WINDOWS\system32\conime.exe


2008-04-09 22:50:23    结束/挂起进程      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
目标进程:C:\WINDOWS\system32\cacls.exe

2008-04-09 22:50:25    结束/挂起进程      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:黑名单->In Side->%windir%\system32\cmd.exe


2008-04-09 22:50:25    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
文件路径:C:\WINDOWS\system32\notepde.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe


2008-04-09 22:50:25    创建文件      操作:允许
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
文件路径:C:\WINDOWS\system32\vbb.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe


2008-04-09 22:50:26    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
文件路径:C:\WINDOWS\system32\vbb.exe


2008-04-09 22:50:32    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F


2008-04-09 22:50:38    修改文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cacls.exe
文件路径:C:\WINDOWS\system32\dllcache\cmd.exe


2008-04-09 22:50:39    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SoundMan
注册表数据:SoundMan.exe


2008-04-09 22:50:40    修改注册表内容      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ctfmon.exe
注册表数据:C:\WINDOWS\system32\ctfmon.exe


2008-04-09 22:50:42    删除注册表      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:360Safetray


2008-04-09 22:50:42    删除注册表      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:KavStart


2008-04-09 22:50:43    结束/挂起进程      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
目标进程:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe


2008-04-09 22:50:43    删除注册表      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\qcqyt\桌面\SoundMan\SoundMan.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:KavPFW


2008-04-09 22:50:46    结束/挂起进程      操作:允许
进程路径:C:\WINDOWS\system32\vbb.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:黑名单->In Side->%windir%\system32\cmd.exe


2008-04-09 22:50:47    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:config sharedaccess start= disabled


2008-04-09 22:50:52    删除文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\system32\notepde.exe


2008-04-09 22:50:52    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\SoundMan.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe


2008-04-09 22:50:52    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\system32\interne.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe


2008-04-09 22:50:53    创建文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\system32\ttjj3.ini

2008-04-09 22:50:54    修改文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\SoundMan.exe


2008-04-09 22:50:55    修改文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\system32\interne.exe
回复

举报

qcqyt
发表于 2008-4-9 23:52:14 | 显示全部楼层
2008-04-09 22:51:05    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
注册表名称:[Key]


2008-04-09 22:51:06    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
注册表名称:Debugger
注册表数据:SoundMan.exe


2008-04-09 22:51:07    创建文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\1.inf


2008-04-09 22:51:08    修改文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\1.inf


2008-04-09 22:51:09    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
文件路径:C:\WINDOWS\SoundMan.exe


2008-04-09 22:51:10    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:setupapi,InstallHinfSection DefaultInstall 128 C:\WINDOWS\1.inf


2008-04-09 22:51:11    安装服务或者驱动      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
文件路径:%SystemRoot%\system32\interne.exe


2008-04-09 22:51:11    修改注册表内容      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc
注册表名称:ImagePath
注册表数据:%SystemRoot%\system32\interne.exe

2008-04-09 22:51:21    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
注册表名称:new1


2008-04-09 22:51:22    删除文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\1.inf


2008-04-09 22:51:23    修改系统时间      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\vbb.exe



2008-04-09 22:51:29    创建文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\2.bat

2008-04-09 22:51:33    删除文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\vbb.exe

2008-04-09 22:54:34    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\SoundMan.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F


2008-04-09 22:55:00    结束/挂起进程      操作:允许
进程路径:C:\WINDOWS\SoundMan.exe
目标进程:C:\WINDOWS\system32\cmd.exe
触发规则:黑名单->In Side->%windir%\system32\cmd.exe

2008-04-09 22:55:58    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword
注册表名称:Debugger
注册表数据:svchost.exe

2008-04-09 22:55:57    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe
注册表名称:Debugger
注册表数据:svchost.exe

2008-04-09 22:56:00    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep
注册表名称:Debugger
注册表数据:svchost.exe

2008-04-09 22:56:06    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\SoundMan.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
注册表名称:Debugger
注册表数据:svchost.exe
回复

举报

qcqyt
发表于 2008-4-9 23:52:46 | 显示全部楼层
2008-04-09 22:57:20    创建文件      操作:允许
进程路径:C:\WINDOWS\SoundMan.exe
文件路径:C:\WINDOWS\system32\qoq.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-04-09 22:57:22    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\SoundMan.exe
文件路径:C:\WINDOWS\system32\qoq.exe
命令行:123.119.197.0-123.119.202.0 135 10

2008-04-09 22:57:23    创建文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\qoq.exe
文件路径:C:\Por.aed

2008-04-09 22:57:30    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\ssave.exe
文件路径:C:\WINDOWS\system32\Com\hei3.exe


2008-04-09 22:57:31    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\Com\hei3.exe
文件路径:C:\WINDOWS\upxdnd.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

2008-04-09 22:58:02    安装服务或者驱动      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\DRIVERS\msaclue.sys

不发了..太多了.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

112112
发表于 2008-4-10 16:26:11 | 显示全部楼层
瑞星病毒查杀结果报告

清除病毒种类列表:
病毒: Backdoor.Win32.Scan.a   
病毒: Backdoor.Win32.Scan.a   

软件版本:20.39.30
回复

举报

尤金卡巴斯基
发表于 2008-4-10 21:07:23 | 显示全部楼层
已删除:木马程序 Trojan.Win32.VB.cno        文件: G:\virus\SoundMan.rar/SoundMan.exe
回复

举报

haol
发表于 2008-4-11 01:13:11 | 显示全部楼层
avast found Win32:Trojan-gen {VC}
回复

举报

lhddong
发表于 2008-4-11 01:22:11 | 显示全部楼层
扫描报告
2008年4月11日 1:21:50 - 1:21:51
计算机名称: CHINESE-F60B88F
扫描类型: 扫描指定目标
目标: E:\SoundMan.rar


--------------------------------------------------------------------------------

结果: 发现1个恶意软件
Trojan.Win32.VB.cno (病毒)
E:\SoundMan.rar\SoundMan.exe
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-15 02:11 , Processed in 0.121856 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表