谁能分析一下，这两个文件干了啥？ccom.exe

显示全部楼层 · 发表于 2010-11-18 12:36:53

360杀毒扫描日志

病毒库版本：6260567
扫描时间：2010-11-18 12:35:19
扫描用时：00:00:16
扫描类型：右键扫描
扫描文件总数：8
威胁总数：2

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：通知用户
扫描系统内存：是
扫描磁盘引导区：是
扫描 Rootkit：否
使用QVM启发式引擎：是

扫描内容
----------------------
C:\Users\Administrator\Desktop\桌面.rar

白名单设置
----------------------

扫描结果
======================
病毒扫描结果
----------------------
C:\Users\Administrator\Desktop\桌面.rar=>ccom1.exe 木马程序(Gen:Trojan.Heur.VP.cmKdaG9!Uldb) 已删除
C:\Users\Administrator\Desktop\桌面.rar=>ccom.exe 可疑木马(Trojan.Generic.3125966) 已删除

显示全部楼层 · 发表于 2010-11-18 12:41:58

红伞webguard报

显示全部楼层 · 发表于 2010-11-18 12:46:00

蜘蛛报了两个后门

显示全部楼层 · 发表于 2010-11-18 12:58:36

panda
Trj/VB.AFH x2

显示全部楼层 · 发表于 2010-11-18 13:01:14

2010-11-18 12:58:42 创建新进程允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: c:\windows\system32\cacls.exe
命令行: cacls.exe C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
规则: [应用程序]*

2010-11-18 12:58:43 结束其他进程允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: c:\windows\system32\cacls.exe
规则: [应用程序]*

2010-11-18 12:58:47 创建文件允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: C:\WINDOWS\SonndMan.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2010-11-18 12:58:47 创建文件允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2010-11-18 12:58:47 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc\ImagePath
值: C:\WINDOWS\system32\inertno.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2010-11-18 12:58:48 创建新进程允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: c:\windows\sonndman.exe
命令行: C:\WINDOWS\SonndMan.exe
规则: [应用程序]*

2010-11-18 12:58:57 修改系统时间允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
新时间: 2010-11-18 12:58:57
规则: [应用程序]*

2010-11-18 12:58:57 创建新进程允许
进程: c:\documents and settings\administrator\桌面\ccom.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c echo ping 127.1 -n 3 >nul 2>nul >c:\2.bat&echo del "C:\Documents and Settings\Administrator\桌面\ccom.exe">>c:\2.bat&echo del c:\2.bat>>c:\2.bat&c:\2.bat
规则: [应用程序]*

2010-11-18 12:58:58 创建文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\2.bat
规则: [文件]?:\

2010-11-18 12:58:58 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\ping.exe
命令行: ping 127.1 -n 3
规则: [应用程序]*

2010-11-18 12:59:00 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\ccom.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2010-11-18 12:59:27 访问网络允许
进程: c:\windows\system32\svchost.exe
目标: UDP [本机 : 53266] ->  [192.168.170.254 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-11-18 12:59:27 访问网络允许
进程: c:\windows\sonndman.exe
目标: TCP [本机 : 1034] ->  [59.37.71.88 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2010-11-18 12:59:51 访问网络允许
进程: c:\windows\sonndman.exe
目标: TCP [本机 : 1035] ->  [222.73.45.135 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2010-11-18 13:12:15

2010-11-18 12:44:15 运行应用程序    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\桌面\ccom1.exe
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:44:35 运行应用程序    操作:阻止
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:44:49 创建文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:44:54 创建文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:44:59 创建文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\ttjj34.ini
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:45:03 修改文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:45:06 修改文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:45:10 修改文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:(隐藏文件)C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:45:22 修改文件    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:45:49 安装服务或者驱动    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:45:49 修改注册表内容    操作:阻止
进程路径:E:\virus test\桌面\ccom1.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc
注册表名称:ImagePath
更改后:C:\WINDOWS\system32\inertno.exe
更改前:%SystemRoot%\System32\svchost.exe -k netsvcs
触发规则:所有程序规则->A01…系统关键设置保护（黑名单）->*\SYSTEM\*Controlset*\Services\*

2010-11-18 12:45:57 运行应用程序    操作:允许
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:46:01 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~DF51E5.tmp
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:46:06 创建注册表值    操作:阻止
进程路径:E:\virus test\桌面\ccom1.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
注册表名称:new1
触发规则:所有程序规则->A07…系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*

2010-11-18 12:46:19 修改系统时间    操作:阻止
进程路径:E:\virus test\桌面\ccom1.exe
更改后系统时间:2010-11-18 4:46
触发规则:所有程序规则->*

2010-11-18 12:46:31 运行应用程序    操作:阻止
进程路径:E:\virus test\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c echo ping 127.1 -n 3 >nul 2>nul >c:\2.bat&echo del "E:\virus test\桌面\ccom1.exe">>c:\2.bat&echo del c:\2.bat>>c:\2.bat&c:\2.bat
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:47:38 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\gx2[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:47:40 删除文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\gx2[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:47:45 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\gx3[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:47:47 删除文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\gx3[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:47:56 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:48:01 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\gx3[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:48:03 删除文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\gx3[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:48:10 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
注册表名称:time
触发规则:所有程序规则->A07…系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*

2010-11-18 12:48:15 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SoundMan
触发规则:所有程序规则->A02…注册表启动项保护（黑名单）->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 12:48:22 安装服务或者驱动    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:48:22 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc
注册表名称:ImagePath
更改后:C:\WINDOWS\system32\inertno.exe
更改前:%SystemRoot%\System32\svchost.exe -k netsvcs
触发规则:所有程序规则->A01…系统关键设置保护（黑名单）->*\SYSTEM\*Controlset*\Services\*

2010-11-18 12:48:30 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
注册表名称:new1
触发规则:所有程序规则->A07…系统和软件操作（黑白）->*\Software\Microsoft\Windows*\*

2010-11-18 12:48:32 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\ip[1].htm
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:48:34 删除文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\ip[1].htm
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:48:45 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c route print|find "Default Gateway: ">c:\ip.txt
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:48:49 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O4OPQPA5\ssem[1].jpg
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:48:54 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\ssem.exe
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:48:58 运行应用程序    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\ssem.exe
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:49:14 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\ssem.exe
文件路径:C:\Program files\MSDN
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:49:19 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\53D5LUCC\1[1].htm
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:49:29 修改系统时间    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
更改后系统时间:2010-11-18 4:49
触发规则:所有程序规则->*

2010-11-18 12:49:34 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\ssem.exe
文件路径:C:\Program files\MSDN\LHL13.sys
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:49:36 创建文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KK4GEFDP\U[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:49:44 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\ssem.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c time 12:49:00
触发规则:所有程序规则->0-virus test->*

2010-11-18 12:49:48 删除文件    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KK4GEFDP\U[1].txt
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:49:52 修改注册表内容    操作:阻止并结束进程
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->A01…系统关键设置保护（黑名单）->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

2010-11-18 12:50:30 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\ssem.exe
文件路径:C:\Program files\MSDN\000000001
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:50:40 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\ssem.exe
文件路径:C:\sys13
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-18 12:50:54 修改其它进程内存    操作:阻止
进程路径:C:\WINDOWS\system32\ssem.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->A01…禁止注入系统进程（黑名单）->%windir%\Explorer.EXE

......
......
......

2010-11-18 12:54:05 修改其它进程内存    操作:阻止
进程路径:C:\WINDOWS\system32\ssem.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->A01…禁止注入系统进程（黑名单）->%windir%\Explorer.EXE

无奈！阻止及结束进程。。。！

显示全部楼层 · 发表于 2010-11-18 13:23:47

显示全部楼层 · 发表于 2010-11-18 14:02:01

avira

Begin scan in 'D:\Download\桌面.rar'
D:\Download\桌面.rar
[0] Archive type: RAR
  [DETECTION] Is the TR/Spy.20480.1337 Trojan
  --> ccom1.exe
--> Object
   [2] Archive type: RSRC
--> Object
  [DETECTION] Is the TR/Spy.20480.1337 Trojan
   --> Object
      [3] Archive type: RSRC
--> Object
  [DETECTION] Contains recognition pattern of the SPR/PortScan.S program
--> Object
  [DETECTION] Is the TR/Spy.45056.806 Trojan
--> ccom.exe
  [DETECTION] Is the TR/Drop.VB.kff Trojan
[NOTE]    The file was moved to quarantine directory and named '4e6ef9e7.qua'!

显示全部楼层 · 发表于 2010-11-18 14:10:46

2010-11-18 14:09:08 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: c:\windows\system32\cacls.exe
命令行: cacls.exe C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
规则: [应用程序]*

2010-11-18 14:09:10 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: c:\windows\system32\cacls.exe
命令行: cacls.exe C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
规则: [应用程序]*

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\SonndMan.exe
规则: [文件组]文件保护 -> [文件]c:\windows

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\SonndMan.exe
规则: [文件组]文件保护 -> [文件]c:\windows

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\SonndMan.exe
规则: [文件组]文件保护 -> [文件]c:\windows

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:14 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: C:\WINDOWS\system32\ttjj21.ini
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:14 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: \Device\NamedPipe\samr
规则: [文件]*

2010-11-18 14:09:14 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\BarClientServer.exe
规则: [文件组]文件保护 -> [文件]c:\windows

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\BarClientServer.exe
规则: [文件组]文件保护 -> [文件]c:\windows

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\BarClientServer.exe
规则: [文件组]文件保护 -> [文件]c:\windows

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\system32\inertno.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:15 创建文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: C:\WINDOWS\system32\ttjj34.ini
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-18 14:09:15 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: \Device\NamedPipe\samr
规则: [文件]*

2010-11-18 14:09:15 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2010-11-18 14:09:16 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-18 14:09:16 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-18 14:09:16 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-18 14:09:16 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-18 14:09:17 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1
值: 0x00000000(0)
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*

2010-11-18 14:09:17 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: \Device\NamedPipe\samr
规则: [文件]*

2010-11-18 14:09:17 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2010-11-18 14:09:17 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1
值: 0x00000000(0)
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*

2010-11-18 14:09:17 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: \Device\NamedPipe\samr
规则: [文件]*

2010-11-18 14:09:17 读文件阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2010-11-18 14:09:17 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\test\ccom.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c echo ping 127.1 -n 3 >nul 2>nul >c:\2.bat&echo del "C:\Documents and Settings\Administrator\桌面\test\ccom.exe">>c:\2.bat&echo del c:\2.bat>>c:\2.bat&c:\2.bat
规则: [应用程序]*

2010-11-18 14:09:17 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\test\ccom1.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c echo ping 127.1 -n 3 >nul 2>nul >c:\2.bat&echo del "C:\Documents and Settings\Administrator\桌面\test\ccom1.exe">>c:\2.bat&echo del c:\2.bat>>c:\2.bat&c:\2.bat
规则: [应用程序]*

显示全部楼层 · 发表于 2010-11-18 14:55:35

2010-11-18 14:55:46 运行应用程序    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2010-11-18 14:55:51 创建文件    操作:允许
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2010-11-18 14:55:52 创建文件    操作:允许
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2010-11-18 14:55:52 创建文件    操作:允许
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\ttjj34.ini
触发规则:应用程序规则->%ProgramFiles%文件设置->%ProgramFiles%\*.exe->%windir%\*.ini

2010-11-18 14:55:52 修改文件    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2010-11-18 14:55:52 修改文件    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2010-11-18 14:55:52 修改文件    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
文件路径:(隐藏文件)C:\WINDOWS\BarClientServer.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2010-11-18 14:55:52 修改文件    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2010-11-18 14:55:52 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\lsass.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\DOMAINS\Account\Users\Names\new1ǔ
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2010-11-18 14:55:52 安装服务或者驱动    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->*

2010-11-18 14:55:55 创建注册表值    操作:使用任务隔离区操作
进程路径:F:\virus\桌面\ccom1.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
注册表名称:new1
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

2010-11-18 14:55:55 修改系统时间    操作:阻止
进程路径:F:\virus\桌面\ccom1.exe
更改后系统时间:2010-11-18 6:55
触发规则:所有程序规则->*

2010-11-18 14:55:55 运行应用程序    操作:允许
进程路径:F:\virus\桌面\ccom1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c echo ping 127.1 -n 3 >nul 2>nul >c:\2.bat&echo del "F:\virus\桌面\ccom1.exe">>c:\2.bat&echo del c:\2.bat>>c:\2.bat&c:\2.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-11-18 14:55:55 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\2.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

2010-11-18 14:55:55 修改文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\2.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

2010-11-18 14:55:55 修改文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\2.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

2010-11-18 14:55:55 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\ping.exe
命令行:127.1 -n 3
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\ping.exe

2010-11-18 14:56:00 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\桌面\ccom1.exe
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->?:\*

2010-11-18 14:56:00 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\2.bat
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->*\*.bat

2010-11-18 14:56:35 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:35 访问服务管理器    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
触发规则:应用程序规则->访问服务管理器->%windir%\*

2010-11-18 14:56:43 创建注册表值    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SoundMan
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:43 安装服务或者驱动    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\inertno.exe
触发规则:所有程序规则->*

2010-11-18 14:56:48 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:360Safetray
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:50 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:KavStart
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:51 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:KavPFW
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:52 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:vptray
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:53 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:kav
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:54 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:runeip
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:55 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:RavTask
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:56 删除注册表    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:RfwMain
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-18 14:56:56 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\lsass.exe
注册表路径:HKEY_LOCAL_MACHINE\SAM\SAM\DOMAINS\Account\Users\Names\new1ǔ
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->HKEY_LOCAL_MACHINE\SAM\SAM*

2010-11-18 14:56:56 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
注册表名称:new1
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

2010-11-18 14:56:56 运行应用程序    操作:允许
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c route print|find "Default Gateway: ">c:\ip.txt
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2010-11-18 14:56:57 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\ip.txt
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%SystemDrive%\*

2010-11-18 14:56:59 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\BarClientServer.exe
文件路径:C:\WINDOWS\system32\ssem.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\*.exe

2010-11-18 14:56:59 修改系统时间    操作:阻止
进程路径:C:\WINDOWS\BarClientServer.exe
更改后系统时间:2010-11-18 6:56
触发规则:所有程序规则->*

2010-11-18 14:57:04 修改注册表内容    操作:阻止并结束进程
进程路径:C:\WINDOWS\BarClientServer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

[病毒样本] 谁能分析一下，这两个文件干了啥？ccom.exe

本帖子中包含更多资源

浏览过的版块