天琊(ya)V1.0 0228(增强保险箱)

显示全部楼层 · 发表于 2009-2-10 21:25:28

文件创建列表：
(124)主程序,路径：C:\Documents and Settings\Administrator\桌面\lsass.exe,命令行：C:\Documents and Settings\Administrator\桌面\lsass.exe,隐藏(NO),成功(YES)
----(932)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c echo ok,隐藏(NO),挂起(NO),成功(YES)
----(1912)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F,隐藏(NO),挂起(NO),成功(YES)
----(1948)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F,隐藏(NO),挂起(NO),成功(YES)
----线程(1116)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\00302.log,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\NetApi000.sys,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\Com\smss.exe,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\Com\netcfg.000,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\Com\netcfg.dll,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\201329.log,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\dnsq.dll,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\037589.log,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\Com\lsass.exe,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\201516.log,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\WINDOWS\System32\Com\bak,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\AUTORUN.INF,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\pagefile.pif,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：D:\AUTORUN.INF,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：D:\pagefile.pif,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Cookies\administrator@k0102[1].txt,隐藏(NO),成功(YES)
----(300)子程序,父程序PID(124),路径：C:\WINDOWS\System32\REGSVR32.EXE,命令行："C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\netcfg.dll /s,隐藏(NO),挂起(NO),成功(YES)
----(1976)子程序,父程序PID(124),路径：C:\WINDOWS\System32\Com\smss.exe,命令行： C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe,隐藏(NO),挂起(NO),成功(YES)
----(1640)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\dnsq.dll",隐藏(NO),挂起(NO),成功(YES)
----(168)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\bak",隐藏(NO),挂起(NO),成功(YES)
----(1204)子程序,父程序PID(124),路径：C:\WINDOWS\System32\ping.exe,命令行：ping.exe -f -n 1 www.baidu.com,隐藏(NO),挂起(NO),成功(YES)
----(756)子程序,父程序PID(124),路径：C:\Program Files\Internet Explorer\iexplore.exe,命令行： http://w.c0mo.com/r.htm,隐藏(NO),挂起(NO),成功(YES)
--------线程(1660)
------------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\82YRUMLK,隐藏(NO),成功(YES)
------------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\82YRUMLK\desktop.ini,隐藏(NO),成功(YES)
------------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\82YRUMLK\r[1].htm,隐藏(NO),成功(YES)
--------线程(1260)
------------文件操作(创建)：目标文件：C:\WINDOWS\System32\AntiTool.exe.276375,隐藏(NO),成功(YES)
----线程(328)
--------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\82YRUMLK\go[1].htm,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L31JBHM1,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L31JBHM1\desktop.ini,隐藏(NO),成功(YES)
--------文件操作(创建)：目标文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L31JBHM1\goto[1].htm,隐藏(NO),成功(YES)

显示全部楼层 · 发表于 2009-2-10 21:25:58

文件删除操作：
(124)主程序,路径：C:\Documents and Settings\Administrator\桌面\lsass.exe,命令行：C:\Documents and Settings\Administrator\桌面\lsass.exe,隐藏(NO),成功(YES)
----(932)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c echo ok,隐藏(NO),挂起(NO),成功(YES)
----(1912)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F,隐藏(NO),挂起(NO),成功(YES)
----(1948)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F,隐藏(NO),挂起(NO),成功(YES)
----线程(1116)
--------文件操作(自我删除)：目标文件：C:\NetApi000.sys,成功(YES)
--------文件操作(自我删除)：目标文件：C:\WINDOWS\system32\00302.log,成功(YES)
----(300)子程序,父程序PID(124),路径：C:\WINDOWS\System32\REGSVR32.EXE,命令行："C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\netcfg.dll /s,隐藏(NO),挂起(NO),成功(YES)
----(1976)子程序,父程序PID(124),路径：C:\WINDOWS\System32\Com\smss.exe,命令行： C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe,隐藏(NO),挂起(NO),成功(YES)
----(1640)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\dnsq.dll",隐藏(NO),挂起(NO),成功(YES)
----(168)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\bak",隐藏(NO),挂起(NO),成功(YES)
--------线程(144)
------------文件操作(自我删除)：目标文件：C:\WINDOWS\system32\com\bak,成功(YES)
----(1204)子程序,父程序PID(124),路径：C:\WINDOWS\System32\ping.exe,命令行：ping.exe -f -n 1 www.baidu.com,隐藏(NO),挂起(NO),成功(YES)
----(756)子程序,父程序PID(124),路径：C:\Program Files\Internet Explorer\iexplore.exe,命令行： http://w.c0mo.com/r.htm,隐藏(NO),挂起(NO),成功(YES)
--------线程(1260)
------------文件操作(自我删除)：目标文件：C:\WINDOWS\system32\AntiTool.exe.276375,成功(YES)

显示全部楼层 · 发表于 2009-2-10 21:27:14

映像劫持相关：
(124)主程序,路径：C:\Documents and Settings\Administrator\桌面\lsass.exe,命令行：C:\Documents and Settings\Administrator\桌面\lsass.exe,隐藏(NO),成功(YES)
----线程(1116)
--------创建线程：TID(1164),起始地址：0x77e56bf0,参数地址：0x175460,挂起(NO),成功(YES)
--------创建线程：TID(616),起始地址：0x769ae429,参数地址：0x177c38,挂起(NO),成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(588),起始地址：0x150000,0x0,目标进程PID(932),路径：C:\WINDOWS\System32\cmd.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(1956),起始地址：0x90000,0x0,目标进程PID(1912),路径：C:\WINDOWS\System32\cacls.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(1944),起始地址：0x90000,0x0,目标进程PID(1948),路径：C:\WINDOWS\System32\cacls.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(1968),起始地址：0x90000,0x0,目标进程PID(300),路径：C:\WINDOWS\System32\REGSVR32.EXE,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(172),起始地址：0x140000,0x0,目标进程PID(1976),路径：C:\WINDOWS\System32\Com\smss.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(1972),起始地址：0x150000,0x0,目标进程PID(1640),路径：C:\WINDOWS\System32\cmd.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(144),起始地址：0x150000,0x0,目标进程PID(168),路径：C:\WINDOWS\System32\cmd.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(1040),起始地址：0x90000,0x0,目标进程PID(1204),路径：C:\WINDOWS\System32\ping.exe,成功(YES)
--------远程注入(SetThreadContext ShellCode)：TID(1260),起始地址：0x140000,0x0,目标进程PID(756),路径：C:\Program Files\Internet Explorer\iexplore.exe,成功(YES)
--------创建线程：TID(312),起始地址：0x766a924e,参数地址：0x187e40,挂起(NO),成功(YES)
--------创建线程：TID(320),起始地址：0x7c94798d,参数地址：0x0,挂起(NO),成功(YES)
--------创建线程：TID(328),起始地址：0x7c930760,参数地址：0x0,挂起(NO),成功(YES)
--------创建线程：TID(1400),起始地址：0x4a0089c0,参数地址：0x3acbc0,挂起(NO),成功(YES)
--------创建线程：TID(1348),起始地址：0x7e2f71eb,参数地址：0x1a72830,挂起(NO),成功(YES)
--------创建线程：TID(164),起始地址：0x6c14ae05,参数地址：0x20a033c,挂起(NO),成功(YES)
--------创建线程：TID(116),起始地址：0x6c14ae05,参数地址：0x20a033c,挂起(NO),成功(YES)
--------创建线程：TID(600),起始地址：0x6c14ae05,参数地址：0x20a033c,挂起(NO),成功(YES)
--------创建线程：TID(1408),起始地址：0x6c14ae05,参数地址：0x20a033c,挂起(NO),成功(YES)
--------创建线程：TID(1100),起始地址：0x77dc9981,参数地址：0x0,挂起(NO),成功(YES)
----线程(1164)
--------创建线程：TID(152),起始地址：0x77e56bf0,参数地址：0x1783e8,挂起(NO),成功(YES)
----(932)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c echo ok,隐藏(NO),挂起(NO),成功(YES)
----(1912)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F,隐藏(NO),挂起(NO),成功(YES)
----(1948)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F,隐藏(NO),挂起(NO),成功(YES)
----(300)子程序,父程序PID(124),路径：C:\WINDOWS\System32\REGSVR32.EXE,命令行："C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\netcfg.dll /s,隐藏(NO),挂起(NO),成功(YES)
----(1976)子程序,父程序PID(124),路径：C:\WINDOWS\System32\Com\smss.exe,命令行： C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe,隐藏(NO),挂起(NO),成功(YES)
----(1640)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\dnsq.dll",隐藏(NO),挂起(NO),成功(YES)
----(168)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\bak",隐藏(NO),挂起(NO),成功(YES)
--------线程(144)
------------创建线程：TID(160),起始地址：0x10002a90,参数地址：0x0,挂起(NO),成功(YES)
----(1204)子程序,父程序PID(124),路径：C:\WINDOWS\System32\ping.exe,命令行：ping.exe -f -n 1 www.baidu.com,隐藏(NO),挂起(NO),成功(YES)
--------线程(1040)
------------创建线程：TID(1088),起始地址：0x10002a90,参数地址：0x0,挂起(NO),成功(YES)
----(756)子程序,父程序PID(124),路径：C:\Program Files\Internet Explorer\iexplore.exe,命令行： http://w.c0mo.com/r.htm,隐藏(NO),挂起(NO),成功(YES)
--------线程(1260)
------------创建线程：TID(260),起始地址：0x766a924e,参数地址：0x1931a8,挂起(NO),成功(YES)
------------创建线程：TID(252),起始地址：0x7c94798d,参数地址：0x0,挂起(NO),成功(YES)
------------创建线程：TID(1660),起始地址：0x7c930760,参数地址：0x0,挂起(NO),成功(YES)
------------创建线程：TID(256),起始地址：0x77e56bf0,参数地址：0x19cb78,挂起(NO),成功(YES)
------------创建线程：TID(268),起始地址：0x769ae429,参数地址：0x19f550,挂起(NO),成功(YES)
------------创建线程：TID(464),起始地址：0x7e2f71eb,参数地址：0x23327d0,挂起(NO),成功(YES)
------------创建线程：TID(1364),起始地址：0x77dc9981,参数地址：0x0,挂起(NO),成功(YES)
--------线程(256)
------------创建线程：TID(1688),起始地址：0x77e56bf0,参数地址：0x1715c0,挂起(NO),成功(YES)
--------线程(1660)
------------创建线程：TID(388),起始地址：0x719cd5af,参数地址：0x1a8b18,挂起(NO),成功(YES)
----线程(328)
--------创建线程：TID(696),起始地址：0x719cd5af,参数地址：0x1a12d8,挂起(NO),成功(YES)

显示全部楼层 · 发表于 2009-2-10 21:27:44

服务操作：
(124)主程序,路径：C:\Documents and Settings\Administrator\桌面\lsass.exe,命令行：C:\Documents and Settings\Administrator\桌面\lsass.exe,隐藏(NO),成功(YES)
----(932)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c echo ok,隐藏(NO),挂起(NO),成功(YES)
----(1912)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F,隐藏(NO),挂起(NO),成功(YES)
----(1948)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F,隐藏(NO),挂起(NO),成功(YES)
----线程(1116)
--------服务操作(创建)：名称：NetApi000,映像文件：C:\NetApi000.sys,类型(驱动),成功(YES)
--------服务操作(启动)：名称：NetApi000,映像文件：\??\C:\NetApi000.sys,类型(驱动),成功(YES)
--------服务操作(停止)：名称：,映像文件：\??\C:\NetApi000.sys,类型(驱动),成功(YES)
--------服务操作(删除)：名称：,映像文件：\??\C:\NetApi000.sys,类型(驱动),成功(YES)
----(300)子程序,父程序PID(124),路径：C:\WINDOWS\System32\REGSVR32.EXE,命令行："C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\netcfg.dll /s,隐藏(NO),挂起(NO),成功(YES)
----(1976)子程序,父程序PID(124),路径：C:\WINDOWS\System32\Com\smss.exe,命令行： C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe,隐藏(NO),挂起(NO),成功(YES)
----(1640)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\dnsq.dll",隐藏(NO),挂起(NO),成功(YES)
----(168)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c rd /s /q "C:\WINDOWS\system32\com\bak",隐藏(NO),挂起(NO),成功(YES)
----(1204)子程序,父程序PID(124),路径：C:\WINDOWS\System32\ping.exe,命令行：ping.exe -f -n 1 www.baidu.com,隐藏(NO),挂起(NO),成功(YES)
----(756)子程序,父程序PID(124),路径：C:\Program Files\Internet Explorer\iexplore.exe,命令行： http://w.c0mo.com/r.htm,隐藏(NO),挂起(NO),成功(YES)

显示全部楼层 · 发表于 2009-2-10 21:31:04

注册表操作相关
(124)主程序,路径：C:\Documents and Settings\Administrator\桌面\lsass.exe,命令行：C:\Documents and Settings\Administrator\桌面\lsass.exe,隐藏(NO),成功(YES)
----线程(1116)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,键名：Cache,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\Temporary Intern
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths,键名：Directory,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5,设置类型：R
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths,键名：Paths,原类型：REG_DWORD,值：0x4,设置类型：REG_DWORD,设置值：0x4,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1,键名：CachePath,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2,键名：CachePath,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3,键名：CachePath,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4,键名：CachePath,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1,键名：CacheLimit,原类型：REG_DWORD,值：0xc606,设置类型：REG_DWORD,设置值：0xc606,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2,键名：CacheLimit,原类型：REG_DWORD,值：0xc606,设置类型：REG_DWORD,设置值：0xc606,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3,键名：CacheLimit,原类型：REG_DWORD,值：0xc606,设置类型：REG_DWORD,设置值：0xc606,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4,键名：CacheLimit,原类型：REG_DWORD,值：0xc606,设置类型：REG_DWORD,设置值：0xc606,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,键名：Cookies,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Cookies,设置类型：REG_SZ,设置
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,键名：History,原类型：REG_SZ,值：C:\Documents and Settings\Administrator\Local Settings\History,设置类
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,成功(NO)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,键名：Type,原类型：REG_SZ,值：checkbox,设置类型：REG_SZ,设置值：radio,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{8D406E45-73B3-46D4-B785-C885BB766922}User,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{8D406E45-73B3-46D4-B785-C885BB766922}Machine,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,键名：ProxyBypass,原类型：REG_DWORD,值：0x1,设置类型：REG_DWORD,设置值：0x1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,键名：IntranetName,原类型：REG_DWORD,值：0x1,设置类型：REG_DWORD,设置值：0x1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,键名：UNCAsIntranet,原类型：REG_DWORD,值：0x1,设置类型：REG_DWORD,设置值：0x1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,键名：ProxyBypass,原类型：REG_DWORD,值：0x1,设置类型：REG_DWORD,设置值：0x1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,键名：IntranetName,原类型：REG_DWORD,值：0x1,设置类型：REG_DWORD,设置值：0x1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap,键名：UNCAsIntranet,原类型：REG_DWORD,值：0x1,设置类型：REG_DWORD,设置值：0x1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e0706e4b-2ebe-4b57-88cb-d239c61505fe},键名：BaseClass,原类型：REG_SZ,值：Drive,设置类型：REG_SZ,设置值
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b8c9240-3c58-11dc-83e0-806d6172696f},键名：BaseClass,原类型：REG_SZ,值：Drive,设置类型：REG_SZ,设置值
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b8c9241-3c58-11dc-83e0-806d6172696f},键名：BaseClass,原类型：REG_SZ,值：Drive,设置类型：REG_SZ,设置值
--------注册表操作(设置键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b8c9242-3c58-11dc-83e0-886dcf7d88d4},键名：BaseClass,原类型：REG_SZ,值：Drive,设置类型：REG_SZ,设置值
--------注册表操作(创建键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\ShellNoRoam\MUICache,键名：C:\WINDOWS\system32\cacls.exe,类型：REG_SZ,值：Control ACLs Program,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328},成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer,成功(YES)
--------注册表操作(创建键值)：路径：\REGISTRY\USER\S-1-5-21-2351090138-3547460704-1241520142-500\Software\Microsoft\Windows\ShellNoRoam\MUICache,键名：C:\WINDOWS\system32\regsvr32.exe,类型：REG_SZ,值：Microsoft(C) Register Server,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Session Manager,键名：PendingFileRenameOperations,原类型：REG_MULTI_SZ,值：\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VMwareDnD\00006fe1\,设置类型：REG_MULTI_SZ,设置值：\??\C:\DOCUME~1\
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,成功(NO)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,成功(NO)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication,键名：Name,原类型：REG_SZ,值：漂亮金鱼.SCR,设置类型：REG_SZ,设置值：lsass.exe,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication,键名：ID,原类型：REG_DWORD,值：0x3f81df0d,设置类型：REG_DWORD,设置值：0x47de77b1,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication,键名：Name,原类型：REG_SZ,值：lsass.exe,设置类型：REG_SZ,设置值：lsass.exe,成功(YES)
--------注册表操作(设置键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication,键名：ID,原类型：REG_DWORD,值：0x47de77b1,设置类型：REG_DWORD,设置值：0x47de77b1,成功(YES)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,成功(NO)
--------注册表操作(删除项)：路径：\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,成功(NO)
----(932)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cmd.exe,命令行：cmd.exe /c echo ok,隐藏(NO),挂起(NO),成功(YES)
----(1912)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F,隐藏(NO),挂起(NO),成功(YES)
----(1948)子程序,父程序PID(124),路径：C:\WINDOWS\System32\cacls.exe,命令行："C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F,隐藏(NO),挂起(NO),成功(YES)
----(300)子程序,父程序PID(124),路径：C:\WINDOWS\System32\REGSVR32.EXE,命令行："C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\netcfg.dll /s,隐藏(NO),挂起(NO),成功(YES)
--------线程(1968)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF},成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0,键名：,类型：REG_SZ,值：ifObj ActiveX Control module,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\FLAGS,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\FLAGS,键名：,类型：REG_SZ,值：2,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\0,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\0\win32,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\0\win32,键名：,类型：REG_SZ,值：C:\WINDOWS\system32\com\netcfg.dll,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\HELPDIR,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\HELPDIR,键名：,类型：REG_SZ,值：C:\WINDOWS\system32\com,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2},成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2},键名：,类型：REG_SZ,值：_DIfObj,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid,键名：,类型：REG_SZ,值：{00020420-0000-0000-C000-000000000046},成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid32,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid32,键名：,类型：REG_SZ,值：{00020420-0000-0000-C000-000000000046},成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\TypeLib,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\TypeLib,键名：,类型：REG_SZ,值：{814293BA-8708-42E9-A6B7-1BD3172B9DDF},成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\TypeLib,键名：Version,类型：REG_SZ,值：1.0,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D},成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D},键名：,类型：REG_SZ,值：_DIfObjEvents,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid,键名：,类型：REG_SZ,值：{00020420-0000-0000-C000-000000000046},成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid32,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid32,键名：,类型：REG_SZ,值：{00020420-0000-0000-C000-000000000046},成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\TypeLib,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\TypeLib,键名：,类型：REG_SZ,值：{814293BA-8708-42E9-A6B7-1BD3172B9DDF},成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\TypeLib,键名：Version,类型：REG_SZ,值：1.0,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC},成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC},键名：,类型：REG_SZ,值：IfObj Property Page,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}\InprocServer32,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}\InprocServer32,键名：,类型：REG_SZ,值：C:\WINDOWS\system32\com\netcfg.dll,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D},成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1,键名：,类型：REG_SZ,值：IfObj Control,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1\CLSID,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1\CLSID,键名：,类型：REG_SZ,值：{D9901239-34A2-448D-A000-3705544ECE9D},成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D},键名：,类型：REG_SZ,值：IfObj Control,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\ProgID,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\ProgID,键名：,类型：REG_SZ,值：IFOBJ.IfObjCtrl.1,成功(YES)
------------注册表操作(创建项)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\InprocServer32,成功(YES)
------------注册表操作(创建键值)：路径：\REGISTRY\MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\InprocServer32,键名：,类型：REG_SZ,值：C:\WINDOWS\system32\com\netcfg.dll,成功(YES)

显示全部楼层 · 发表于 2009-2-11 08:22:00

如果中了病毒的话，怎么用你的这个工具恢复应用层的钩子啊 -_-! 那个scan 应该是扫描应用层的钩子吧

显示全部楼层 · 发表于 2009-2-11 08:29:43

原帖由 wolfwalk888 于 2009-2-11 08:22 发表
如果中了病毒的话，怎么用你的这个工具恢复应用层的钩子啊 -_-! 那个scan 应该是扫描应用层的钩子吧

应用层的钩子我没做
scan是扫描内核钩子的

显示全部楼层 · 发表于 2009-2-11 09:10:21

恩谢谢了知道了。工具很强大的说，稳定性也增强了不少，期待你的大作

显示全部楼层 · 发表于 2009-2-11 09:49:45

问题又出现了，点一下端口选项，自动退出，开启主动防御的时候，点一下那个样本，日志没记录。

显示全部楼层 · 发表于 2009-2-11 11:42:32

天琊是没有这些日志的，你得使用病毒诊断分析程序。

[原创工具] 天琊(ya)V1.0 0228(增强保险箱)

回复 255楼 chenhui530 的帖子

回复 257楼 chenhui530 的帖子