新型机器狗，过驱动防火墙

显示全部楼层 · 发表于 2011-5-2 10:43:46

回复 25楼 wenjuner 的帖子

老病毒了吧......sep v5

显示全部楼层 · 发表于 2011-5-2 14:54:48

mse kill
衍生物11x mse kill

显示全部楼层 · 发表于 2011-5-2 19:30:33

2011-5-2 19:26:38 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:38 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:38 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:38 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:51 修改文件允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: C:\Documents and Settings\LuckyStar\Local Settings\Temp\QvodSetupPlus3.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护执行文件

2011-5-2 19:26:56 修改文件允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: C:\Documents and Settings\LuckyStar\Local Settings\Temp\dwawdw.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护执行文件

2011-5-2 19:26:56 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\uxtheme.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:56 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\msctf.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:56 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\netapi32.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:26:58 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:00 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:01 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:01 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:03 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:03 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:04 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: D:\My Documents
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:04 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\setupapi.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:27:05 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:06 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:07 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:08 修改文件阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-5-2 19:27:10 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1277307-154b-11e0-8c39-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:11 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1277306-154b-11e0-8c39-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:12 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a1277305-154b-11e0-8c39-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:13 读文件夹阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: D:
规则: [应用程序组]『询问』病毒测试 -> [文件]d:\*

2011-5-2 19:27:13 读文件夹阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: D:\My Documents
规则: [应用程序组]『询问』病毒测试 -> [文件]d:\*

2011-5-2 19:27:14 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:15 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\LuckyStar\桌面
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:16 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:18 访问COM接口阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: {7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager
文件路径: C:\WINDOWS\system32\urlmon.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:27:18 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\urlmon.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:27:19 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\LUCKYS~1\LOCALS~1\Temp\QvodSetupPlus3.exe
值: QvodInstall Module
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:19 加载动态链接库允许
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\windows\system32\apphelp.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:27:23 创建新进程阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\documents and settings\luckystar\local settings\temp\qvodsetupplus3.exe
命令行: "C:\DOCUME~1\LUCKYS~1\LOCALS~1\Temp\QvodSetupPlus3.exe"
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:27:24 读文件夹阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: D:
规则: [应用程序组]『询问』病毒测试 -> [文件]d:\*

2011-5-2 19:27:24 读文件夹阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: D:\My Documents
规则: [应用程序组]『询问』病毒测试 -> [文件]d:\*

2011-5-2 19:27:30 访问COM接口阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: {7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager
文件路径: C:\WINDOWS\system32\urlmon.dll
规则: [应用程序组]『询问』病毒测试

2011-5-2 19:27:32 修改注册表值阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\LUCKYS~1\LOCALS~1\Temp\dwawdw.exe
值: dwawdw
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-5-2 19:27:33 创建新进程阻止
进程: c:\documents and settings\luckystar\桌面\qvodsetupplus3\qvodsetupplus3.exe
目标: c:\documents and settings\luckystar\local settings\temp\dwawdw.exe
命令行: "C:\DOCUME~1\LUCKYS~1\LOCALS~1\Temp\dwawdw.exe"
规则: [应用程序组]『询问』病毒测试

显示全部楼层 · 发表于 2011-5-2 23:05:30

顺网没见被穿，怎么回事？
到底穿什么？

显示全部楼层 · 发表于 2011-5-3 09:02:52

2010-05-03 08:46:15 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UKNVHGPU\1[1].exe

2010-05-03 08:46:20 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\WINDOWS\system\705547512.exe

2010-05-03 08:46:22 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\WINDOWS\system\705547512.exe

2010-05-03 08:46:28 创建文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\1005.dll

2010-05-03 08:46:30 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\1005.dll

2010-05-03 08:46:32 创建文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\WinWcolw.ocx

2010-05-03 08:46:34 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\WinWcolw.ocx

2010-05-03 08:46:36 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UKNVHGPU\1[1].exe

2010-05-03 08:46:38 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\WinWcolw.ocx

2010-05-03 08:46:38 创建文件    操作:阻止
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\system.ini

2010-05-03 08:46:39 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UKNVHGPU\2[1].exe

2010-05-03 08:46:41 创建文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\New.dll

2010-05-03 08:46:42 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\WINDOWS\system\533424021.exe

2010-05-03 08:46:43 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\New.dll

2010-05-03 08:46:44 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\WINDOWS\system\533424021.exe

2010-05-03 08:46:45 创建文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\dsound.dll1070eb3zl.dat

2010-05-03 08:46:47 删除文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\dsound.dll

2010-05-03 08:46:48 创建文件    操作:允许
进程路径:C:\WINDOWS\system\533424021.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\464812n03.dll

2010-05-03 08:46:50 创建文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\dsound.dll1070eb3zl.dat

2010-05-03 08:46:51 修改文件    操作:允许
进程路径:C:\WINDOWS\system\533424021.exe
文件路径:(隐藏文件)C:\Documents and Settings\Administrator\Local Settings\Temp\464812n03.dll

2010-05-03 08:46:53 创建文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\dsound.dll

2010-05-03 08:46:54 修改文件    操作:允许
进程路径:C:\WINDOWS\system\533424021.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\464812n03.dll

2010-05-03 08:46:56 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\dsound.dll

2010-05-03 08:46:57 创建文件    操作:允许
进程路径:C:\WINDOWS\system\533424021.exe
文件路径:C:\WINDOWS\ctfmon.exe

2010-05-03 08:46:58 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UKNVHGPU\2[1].exe

2010-05-03 08:47:00 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\New.dll

2010-05-03 08:47:04 安装全局钩子    操作:允许
进程路径:C:\WINDOWS\system\533424021.exe
文件路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\464812n03.dll
钩子类型:WH_GETMESSAGE

2010-05-03 08:47:06 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UKNVHGPU\20[1].exe

2010-05-03 08:47:08 修改文件    操作:允许
进程路径:C:\WINDOWS\system\705547512.exe
文件路径:C:\WINDOWS\system32\New.dll

自动重启...提示:系统从严重错误中恢复...

显示全部楼层 · 发表于 2011-5-3 11:30:02

本帖最后由阿波99 于 2011-5-3 11:31 编辑

Pand不监控RAR文件，手动扫描有：

显示全部楼层 · 发表于 2011-5-3 11:58:04

本帖最后由 liulangzhecgr 于 2011-5-3 12:04 编辑

修改的文件:
C:\WINDOWS\system32\comres.dll
C:\WINDOWS\system32\ddraw.dll
C:\WINDOWS\system32\dsound.dll

创建的文件:
C:\desktop.ini
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\快玩游戏.lnk
C:\Documents and Settings\Administrator\Local Settings\Temp\201250n03.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\228671n05.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\232703n31.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\238062n16.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\282281n28.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\3492fn01.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\a.bat
C:\Documents and Settings\Administrator\Local Settings\Temp\Breathe.dat
C:\Documents and Settings\Administrator\Local Settings\Temp\ComA.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\ComB.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\dwawdw.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\mainlist.ini
C:\Documents and Settings\Administrator\Local Settings\Temp\n02d.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\n04d.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\qd.ini
C:\Documents and Settings\Administrator\Local Settings\Temp\QvodSetupPlus.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\QvodSetupPlus3.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\TPONSCR.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\xqRcS.sys
C:\Documents and Settings\Administrator\桌面\愤怒的小鸟中文版.lnk
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\tposdsvc.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\快玩\卸载快玩.lnk
C:\Documents and Settings\All Users\「开始」菜单\程序\快玩\快玩游戏.lnk
C:\Documents and Settings\All Users\桌面\快玩游戏.lnk
C:\Program Files\Common Files\QvodPlayer\Codecs\MACDec.dll.new
C:\Program Files\Kuaiwan\AngryBirds.ico
... ...
C:\Program Files\QvodPlayer\Skin\Aluminum.xml
... ...
C:\WINDOWS\ctfmon.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\tposdsvc.exe
C:\WINDOWS\inf\oem1.inf
C:\WINDOWS\inf\oem1.PNF
C:\WINDOWS\system\414032708.exe
C:\WINDOWS\system\579518636.exe
C:\WINDOWS\system\871445850.exe
C:\WINDOWS\system\a.bat
C:\WINDOWS\system32\1002.dll
C:\WINDOWS\system32\1003.dll
C:\WINDOWS\system32\1005.dll
C:\WINDOWS\system32\AttackSet.dat
C:\WINDOWS\system32\AttackSetPrivate.dat
C:\WINDOWS\system32\comres.dll102ff07zl.dat
C:\WINDOWS\system32\comres.dll1036ed8zl.dat
C:\WINDOWS\system32\ddraw.dll102fe7azl.dat
C:\WINDOWS\system32\ddraw.dll1036e5bzl.dat
C:\WINDOWS\system32\dsound.dll.mod
C:\WINDOWS\system32\dsound.dll102fdeezl.dat
C:\WINDOWS\system32\dsound.dll1036ddezl.dat
C:\WINDOWS\system32\mshtml.dllxqRcS
C:\WINDOWS\system32\New.dll
C:\WINDOWS\system32\system.ini
C:\WINDOWS\system32\WindowsXpDat.dll
C:\WINDOWS\system32\WinWcolw.ocx
C:\WINDOWS\system32\xqRcS.sys
C:\WINDOWS\system32\CatRoot2\tmp.edb
C:\WINDOWS\system32\dllcache\mshtml.dllxqRcS
C:\WINDOWS\system32\drivers\ndissyn.sys
C:\WINDOWS\system32\drivers\winsys.inf

显示全部楼层 · 发表于 2011-5-3 12:59:32

回复 64楼 dayang1717 的帖子

易游、顺网、浩艺都穿了，只不过这个快播是个下载器，风声一紧，就停止了下载，我在4月30日测试确实是穿了。症状是进入系统缓慢，桌面和开始菜单异常，系统被提权至SYSTEM

显示全部楼层 · 发表于 2011-5-3 13:40:01

谁那下载样本了？找出真正的来

显示全部楼层 · 发表于 2011-5-3 18:16:50

卡巴报了，windows Defender也报了

[病毒样本] 新型机器狗，过驱动防火墙

本帖子中包含更多资源