收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 同学给的 运行后浏览器主页被修改等 样本已上传 9/4 ...
1234下一页
返回列表 发新帖
楼主: 272513421
 收起左侧

[病毒样本] 同学给的 运行后浏览器主页被修改等 样本已上传 9/41 (21.96%)

  [复制链接]
lyqzg
发表于 2010-5-31 23:10:37 | 显示全部楼层
红伞拦截,TR/Dldr.Agent.myux
回复

举报

波导的勇者
发表于 2010-5-31 23:13:47 | 显示全部楼层
上报 panda
回复

举报

liu5678
发表于 2010-6-1 00:23:39 | 显示全部楼层
TO MSE~
回复

举报

Витас
发表于 2010-6-1 01:18:03 | 显示全部楼层
回复 20# 272513421 的帖子


   YES。
回复

举报

hddu
发表于 2010-6-1 07:30:35 | 显示全部楼层
2010-06-01 07:30:39    修改注册表内容      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
注册表路径:HKEY_CLASSES_ROOT\wFile\ShellEx\DropHandler
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shellex\*

2010-06-01 07:30:39    修改注册表内容      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
注册表路径:HKEY_CLASSES_ROOT\wFile\ShellEx\PropertySheetHandlers\WSHProps
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shellex\*

2010-06-01 07:30:39    运行应用程序      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\WINDOWS\system32\wscript.exe
命令行:"C:\Program Files\WinRAR\WinRAR.knl"
触发规则:所有程序规则->系统程序设置->%windir%\system32\wscript.exe

2010-06-01 07:30:39    创建注册表值      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{0AB23129-7A93-48CE-BE6E-C2ACD4780A0F}\
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2010-06-01 07:30:39    创建注册表值      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{0AB23129-7A93-48CE-BE6E-C2ACD4780A0F}\
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace*

2010-06-01 07:30:42    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*

2010-06-01 07:30:43    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-06-01 07:30:44    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-06-01 07:30:45    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-06-01 07:30:46    修改注册表内容      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Common Desktop
更改后:C:\Documents and Settings\All Users\Desktop
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2010-06-01 07:30:52    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\ns6.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\All Users\Desktop\Internet Explerer" /P "Administrator":F /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:30:56    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\ns7.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explerer 浏览器.lnk" /P "Administrator":F /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:00    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\ns8.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\All Users\Desktop" /P "Administrator":R /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:04    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\ns9.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\All Users\Desktop" /E /G "Administrator":W /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:07    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\max2_133daohang4.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup_133daohang4.exe
命令行:/S
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:08    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\nsA.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\All Users\Desktop" /E /G "Administrator":C /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:11    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\nsB.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\All Users\Desktop\Internet Explerer.lnk" /d "Administrator" /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:12    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\nsC.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\All Users\Desktop\Internet Explerer.lnk" /E /G "Administrator":R /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:14    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*

2010-06-01 07:31:15    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-06-01 07:31:16    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-06-01 07:31:17    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->%ProgramFiles%文件夹设置->%ProgramFiles%\*.exe

2010-06-01 07:31:17    删除文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings文件夹设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2010-06-01 07:31:17    创建文件      操作:阻止
进程路径:F:\virus\Setup10415330\Setup10415330.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explerer 浏览器
触发规则:所有程序规则->Documents and Settings文件夹设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-06-01 07:31:19    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\nsD.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch" /P "Administrator":R /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:20    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\nsE.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch" /E /G "Administrator":W /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:22    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\nsF.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch" /E /G "Administrator":C /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:24    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\ns10.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explerer 浏览器.lnk" /d "Administrator" /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

2010-06-01 07:31:26    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsn2.tmp\ns11.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\D78D0B49.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explerer 浏览器.lnk" /E /G "Administrator":R /y
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

回复

举报

tcjgdw
发表于 2010-6-1 09:00:25 | 显示全部楼层
2010-06-01 08:56:38    运行应用程序      操作:允许
进程路径:C:\WINDOWS\EXPLORER.EXE
文件路径:E:\Setup10415330\Setup10415330.exe
触发规则:应用程序规则->系统进程保护规则->%windir%\explorer.exe->*.*

2010-06-01 08:56:38    创建文件      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\nse2.tmp\System.dll
触发规则:所有程序规则->文件类型记录规则->*.dll

2010-06-01 08:56:38    创建文件      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\D5E5989A.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2010-06-01 08:56:38    修改文件      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:(隐藏文件)C:\Documents and Settings\xu\Local Settings\Temp\D5E5989A.exe
触发规则:所有程序规则->文件类型记录规则->*.exe

2010-06-01 08:56:42    运行应用程序      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:C:\WINDOWS\System32\WScript.exe
命令行:"C:\Program Files\WinRAR\WinRAR.knl"
触发规则:所有程序规则->可疑进程阻止规则->%windir%\system32\wscript.exe

2010-06-01 08:56:42    运行应用程序      操作:允许
进程路径:C:\WINDOWS\System32\SVCHOST.EXE
文件路径:C:\WINDOWS\System32\WBEM\wmiprvse.exe
命令行:-Embedding
触发规则:所有程序规则->程序进程记录规则->*.exe

2010-06-01 08:56:48    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoInternetIcon
触发规则:所有程序规则->我的电脑、回收站、浏览器、网上邻居防护规则->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

2010-06-01 08:56:49    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons
注册表名称:ClassicStartMenu
触发规则:所有程序规则->恶意程序防护规则->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2010-06-01 08:56:49    运行应用程序      操作:允许
进程路径:C:\WINDOWS\System32\SVCHOST.EXE
文件路径:C:\WINDOWS\System32\WBEM\wmiprvse.exe
命令行:-Embedding
触发规则:所有程序规则->程序进程记录规则->*.exe

2010-06-01 08:56:55    删除文件      操作:阻止
进程路径:C:\WINDOWS\System32\WScript.exe
文件路径:C:\DOCUMENTS AND SETTINGS\ALL USERS\桌面\WPS文字.lnk
触发规则:应用程序规则->木马程序防御规则一->%windir%\System32\WScript.exe->?:\DOCUMENTS AND SETTINGS\*\桌面\*.lnk

2010-06-01 08:56:59    创建注册表值      操作:阻止
进程路径:E:\Setup10415330\Setup10415330.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{0AB23129-7A93-48CE-BE6E-C2ACD4780A0F}\Shell\Internet Explorer\Command
注册表名称:[Default]
触发规则:所有程序规则->恶意程序防护规则->HKEY_CLASSES_ROOT\CLSID\*\Shell\*\Command

2010-06-01 08:57:04    创建注册表值      操作:阻止
进程路径:E:\Setup10415330\Setup10415330.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{0AB23129-7A93-48CE-BE6E-C2ACD4780A0F}\
注册表名称:[Key]
触发规则:所有程序规则->假冒桌面IE快捷方式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*

2010-06-01 08:57:05    创建注册表值      操作:阻止
进程路径:E:\Setup10415330\Setup10415330.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{0AB23129-7A93-48CE-BE6E-C2ACD4780A0F}\
注册表名称:[Key]
触发规则:所有程序规则->假冒桌面IE快捷方式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*

2010-06-01 08:57:06    修改注册表内容      操作:阻止
进程路径:E:\Setup10415330\Setup10415330.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
注册表名称:[Default]
触发规则:高优先规则->阻止修改IE主页保护规则->HKEY_CLASSES_ROOT\CLSID\*\shell\OpenHomePage\Command


2010-06-01 08:57:06    创建文件      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\max2_133daohang4.exe
触发规则:所有程序规则->文件类型记录规则->*.exe


2010-06-01 08:57:06    运行应用程序      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:C:\Documents and Settings\XU\Local Settings\Temp\max2_133daohang4.exe
触发规则:所有程序规则->程序进程记录规则->*.exe


2010-06-01 08:57:07    创建文件      操作:允许
进程路径:C:\Documents and Settings\XU\Local Settings\Temp\max2_133daohang4.exe
文件路径:C:\Documents and Settings\xu\Local Settings\Temp\nsd5.tmp\InetLoad2.dll
触发规则:所有程序规则->文件类型记录规则->*.dll


2010-06-01 08:57:11    删除注册表      操作:阻止
进程路径:E:\Setup10415330\Setup10415330.exe
注册表路径:HKEY_CLASSES_ROOT\lnkfile
注册表名称:IsShortcut
触发规则:所有程序规则->系统文件关联保护->HKEY_CLASSES_ROOT\lnkfile


2010-06-01 08:57:11    创建文件      操作:允许
进程路径:E:\Setup10415330\Setup10415330.exe
文件路径:C:\Program Files\Internet  Explorer\IEXPLOR.EXE
触发规则:所有程序规则->文件类型记录规则->*.exe

回复

举报

xiaogujian
发表于 2010-6-1 09:28:50 | 显示全部楼层
TR/Dldr.Agent.myux avira kill
回复

举报

272513421
头像被屏蔽
 楼主| 发表于 2010-6-1 11:44:55 | 显示全部楼层
回复 25# hddu 的帖子


    如何修复呢?
回复

举报

272513421
头像被屏蔽
 楼主| 发表于 2010-6-1 11:45:11 | 显示全部楼层
回复 26# tcjgdw 的帖子


    能修复吗?
回复

举报

tcjgdw
发表于 2010-6-1 13:44:46 | 显示全部楼层
行为分析了,修复就是很轻松的事,按照行为分析进行修复..................
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-9-20 06:14 , Processed in 0.094704 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表