收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 有点诡异的样本[样本创建和被修改的文件一起打包上传]
1234下一页
返回列表 发新帖
楼主: liulangzhecgr
 收起左侧

[病毒样本] 有点诡异的样本[样本创建和被修改的文件一起打包上传]

  [复制链接]
hddu
发表于 2011-4-12 14:33:50 | 显示全部楼层
本帖最后由 hddu 于 2011-4-12 14:35 编辑

回复 19楼 liulangzhecgr 的帖子

2011-04-12 13:34:48    加载库文件      操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\system32\00EF046C.tmp
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->*\*.tmp

explorer.exe加载了毒文件00EF046C.tmp疯狂做坏事。





回复

举报

oy-ll
头像被屏蔽
发表于 2011-4-12 14:56:07 | 显示全部楼层
好久没试毒,抓这个试下:
2011-4-12 14:50:08    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\42160be3.exe
规则: [应用程序]* -> [文件]c:\

2011-4-12 14:50:19    创建文件    允许
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\Documents and Settings\Infotmp.txt
规则: [文件组][Documents and Settings]目录组---阻止类 -> [文件]?:\documents and settings

2011-4-12 14:50:29    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:50:33    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:50:38    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:50:41    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:50:41    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\46B70134.tmp
规则: [文件组]系统保护(防创建) -> [文件]c:\*

2011-4-12 14:50:54    创建新进程    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: c:\windows\system32\reg.exe
命令行: reg export "HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layouts" C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\r53a737c0.txt
规则: [应用程序组]低优先应用软件组 -> [应用程序]c:\windows\*.exe

2011-4-12 14:50:58    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0200804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:01    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0050804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:03    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010412
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:05    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\4090409
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:06    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00040409
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:08    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00030409
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:10    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00020409
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:10    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00010409
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:11    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000201a
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:12    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000085d
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:12    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000809
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:13    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:13    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000046e
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:14    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000041d
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:14    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000419
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:15    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000412
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:15    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000411
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:16    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000410
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:17    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000040c
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:17    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\0000040a
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:18    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000409
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:18    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000408
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:19    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\00000407
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:19    删除注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-4-12 14:51:20    创建新进程    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: c:\windows\system32\reg.exe
命令行: reg import C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\r53a737c0.txt
规则: [应用程序组]低优先应用软件组 -> [应用程序]c:\windows\*.exe

2011-4-12 14:51:20    向其他进程发送消息    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: c:\windows\system32\csrss.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]*

2011-4-12 14:51:25    向其他进程发送消息    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: c:\windows\system32\csrss.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]*

2011-4-12 14:51:35    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:38    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:42    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:44    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:44    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:45    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:46    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:46    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:47    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:47    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:48    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:48    修改文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:49    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:51    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:51    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\6to4.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:52    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:53    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:53    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\Ias.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:54    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:54    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:55    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\Iprip.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:51:56    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:51:59    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:00    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\Irmon.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:52:01    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:01    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:02    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\NWCWorkstation.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:52:05    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:05    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:06    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\Nwsapagent.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

2011-4-12 14:52:06    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:07    创建注册表项    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-4-12 14:52:07    创建文件    阻止
进程: e:\复件 326d5534\复件 326d5534.exe
目标: C:\WINDOWS\system32\WmdmPmSp.dll
规则: [文件组]系统保护(防改) -> [文件]c:\*; *.dll

回复

举报

hddu
发表于 2011-4-12 16:13:06 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

saga3721
发表于 2011-4-12 16:44:29 | 显示全部楼层
红伞杀
回复

举报

风林一庄
发表于 2011-4-12 22:04:52 | 显示全部楼层
eav报了,直接阻止下载。
回复

举报

s8706042
发表于 2011-4-12 23:03:20 | 显示全部楼层
趋势kill 2 virus(PE)~
回复

举报

左手
发表于 2011-4-13 08:45:31 | 显示全部楼层
2011-4-13 08:41:19    创建文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\42160be3.exe
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:19    创建文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\00725fd4.exe
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:19    创建文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\Documents and Settings\Infotmp.txt
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件]*

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\MsPMSNSv.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\schedsvc.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\MsPMSNSv.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    修改文件    阻止
进程: d:\program files\viurs\复件 326d5534.exe
目标: C:\WINDOWS\system32\schedsvc.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:23    创建注册表项    阻止并结束进程
进程: d:\program files\viurs\复件 326d5534.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters
规则: [注册表组][RD]危险恶意修改项(阻止并结束) -> [注册表]*\SYSTEM\*controlset*\Services\*

2011-4-13 08:41:39    创建文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\Documents and Settings\Infotmp.txt
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件]*

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\MsPMSNSv.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\ssdpsrv.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\schedsvc.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\MsPMSNSv.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\ssdpsrv.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    修改文件    阻止
进程: d:\program files\viurs\复件 6fe86721.exe
目标: C:\WINDOWS\system32\schedsvc.dll
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]木马拦载

2011-4-13 08:41:43    创建注册表项    阻止并结束进程
进程: d:\program files\viurs\复件 6fe86721.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Parameters
规则: [注册表组][RD]危险恶意修改项(阻止并结束) -> [注册表]*\SYSTEM\*controlset*\Services\*

回复

举报

liulangzhecgr
 楼主| 发表于 2011-4-13 08:50:16 | 显示全部楼层
回复 27楼 左手 的帖子

其实,我说诡异的是:
重启系统后进入系统不到几秒就自动重启!反复出现这种现象而没法在系统中动手动脚...
回复

举报

victor275
发表于 2011-4-13 12:33:05 | 显示全部楼层
eset 杀之
回复

举报

byxxdrls
头像被屏蔽
发表于 2011-4-13 12:35:15 | 显示全部楼层
回复 5楼 李不知 的帖子

不算启发。报未知病毒什么的才能算。
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-13 18:49 , Processed in 0.092427 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表