几个样本（里面有一个驱动木马过微点）

显示全部楼层 · 发表于 2011-1-23 22:41:02

http://u.115.com/file/f94a4c6126

已上報趨勢嚕~~

显示全部楼层 · 发表于 2011-1-24 00:06:49

No input file specified.

显示全部楼层 · 发表于 2011-1-24 03:21:05

本帖最后由 gogo8989 于 2011-1-24 03:23 编辑

诺顿直接杀一个运行后主防杀一个剩下两个

显示全部楼层 · 发表于 2011-1-24 04:28:13

4个样本一个一个都点击。。。

显示全部楼层 · 发表于 2011-1-24 10:58:59

695580825 发表于 2011-1-23 00:51
应该有的免杀吧（刚才测的时候有几个金山云提示的是未知）好像不过国外的~

应该免杀360和金山？

毒霸清空

显示全部楼层 · 发表于 2011-1-24 11:01:44

为什么我打不开

显示全部楼层 · 发表于 2011-1-24 11:07:48

大蜘蛛：
样本\Server.rar/Server.exe 已感染：  Trojan.MulDrop1.61893
样本\Vnopqrstu_NET.rar/Vnopqrstu_NET.exe 可能已感染：  DLOADER.Trojan
样本\桌面.exe.重命名/1.exe 已感染：  Trojan.Click1.28519
样本\44.exe.重命名 - infected with Trojan.MulDrop1.55312

显示全部楼层 · 发表于 2011-1-24 18:02:30

回复 6楼 jayavira 的帖子

AVG给力

kill all...

显示全部楼层 · 发表于 2011-1-24 18:06:50

44：

2011-1-24 18:01:34 删除注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\桌面\PMagic\PMagic\硬盘分区魔术师9.0简体中文版\dx.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-24 18:01:34 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\LangID
值: 04 08
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-24 18:01:53 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /t /im KSafeTray.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\taskkill.exe

2011-1-24 18:01:53 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: C:\Program Files\WINDOWSS.INI
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\program files; *.*

2011-1-24 18:01:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Program Files\temp0 \??\C:\Program Files\temp
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-24 18:01:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Program Files\temp\QQ.exe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\QQ.exe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-24 18:01:54 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: C:\Program Files\temp0\QQ.exe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]*\program files\*; *.exe

2011-1-24 18:01:54 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: C:\Program Files\temp0\QQ.exe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]*\program files\*; *.exe

2011-1-24 18:01:55 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: C:\Program Files\temp0\QQ.exe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]*\program files\*; *.exe

2011-1-24 18:01:57 创建新进程阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\44.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c afc9fe2f418b00a0.bat
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\cmd.exe

Server：
2011-1-24 18:02:33 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21785
值: 共享文档
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache; @*

2011-1-24 18:02:33 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9217
值: 网上邻居
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache; @*

2011-1-24 18:02:33 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9227
值: 我的文档
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache; @*

2011-1-24 18:02:34 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9217
值: 网上邻居
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache; @*

2011-1-24 18:02:34 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-9227
值: 我的文档
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache; @*

2011-1-24 18:02:34 修改注册表值阻止
进程: c:\program files\winrar\winrar.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21785
值: 共享文档
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache; @*

2011-1-24 18:03:03 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: C:\Program Files\Realtek\EditorsUI.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]*\program files\*; *.dll

2011-1-24 18:03:04 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: C:\WINDOWS\system32\bak8011252.log
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-24 18:03:05 修改文件夹阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
规则: [应用程序]* -> [文件]*

2011-1-24 18:03:05 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Type
值: 0x00000004(4)
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-24 18:03:06 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Description
值: 提供共同的界面和对象模式以便访问有关Internet应用程序。
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-24 18:03:06 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\\CurrentControlSet\\Services\\Ias\\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-24 18:03:07 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\server\server.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

Vnopqrstu_NET：
2011-1-24 18:04:33 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\vnopqrstu_net\vnopqrstu_net.exe
目标: C:\966600.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]?:\; *.dll

2011-1-24 18:04:33 修改文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\vnopqrstu_net\vnopqrstu_net.exe
目标: C:\NT_Path.jpg
规则: [文件组]文件安全读写规则(允许创建，阻止修改、删除) -> [文件]*; *.jpg

2011-1-24 18:04:34 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\vnopqrstu_net\vnopqrstu_net.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip\DLLPath
值: C:\966600.dll
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

桌面：
2011-1-24 18:05:18 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\桌面.exe
目标: C:\WINDOWS\Server.exe
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\windows; *.exe*

2011-1-24 18:05:19 创建文件阻止
进程: c:\documents and settings\administrator\桌面\样本\样本\桌面.exe
目标: C:\WINDOWS\Server.exe
规则: [文件组]常见病毒文件免疫(询问创建) -> [文件]c:\windows; *.exe*

2011-1-24 18:05:19 创建文件阻止并结束进程
进程: c:\documents and settings\administrator\桌面\样本\样本\桌面.exe
目标: C:\WINDOWS\1.exe
规则: [文件组]常见病毒文件免疫(结束病毒进程) -> [文件]*; ?.exe

[病毒样本] 几个样本（里面有一个驱动木马过微点）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源