收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 写 MBR
1234下一页
返回列表 发新帖
楼主: a256886572008
 收起左侧

[病毒样本] 写 MBR

  [复制链接]
liulangzhecgr
发表于 2011-5-4 13:01:26 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-5-4 13:12 编辑

回复 1楼 a256886572008 的帖子

tdss.tdl? 病毒吧!


-----------------------------------------------------------------
tdss.tdl4 !


现在TDSS.TDL4 不感染驱动文件?! TDSSKILLER 秒杀!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

xwhmm
头像被屏蔽
发表于 2011-5-4 13:36:43 | 显示全部楼层
手机先占位
回复

举报

rasis
发表于 2011-5-4 13:52:04 | 显示全部楼层
360

dll.rar=>dll.exe        行为和木马比较相似的程序        已删除
回复

举报

saga3721
发表于 2011-5-4 13:57:18 | 显示全部楼层
回复 11楼 liulangzhecgr 的帖子

看OP的提示像是说感染spoolsv.exe然后spoolsv.exe直接操作硬盘来的……也不知道究竟怎样
回复

举报

小飞侠.net
发表于 2011-5-4 14:25:42 | 显示全部楼层

可疑文件扫描报告┊2011-4-24 8:00┊

┊360杀毒 2.0.0.2033 ┊
扫描选项--指定目录扫描
----------------------
扫描所有文件:是
扫描压缩包:是
发现病毒处理方式:通知用户
扫描系统内存:是
扫描磁盘引导区:是
扫描 Rootkit:是
使用QVM启发式引擎:是
=======================
┊安天防线v7.2.2.3184 ┊--指定目录扫描
----------------------
云安全:yes
扫描文件类型:所有文件
扫描压缩包:yes
扫描Cookies:yes
扫描Rootkit:yes
启发式:yes

       Windows XP SP3┊Google Chrome 11┊7-Zip┊7z
----------------------
文件名: D:\mp4\0506星期五\dll.rar
文件大小: 115462 字节 (112.76 KB)
修改日期: 2011-05-04 11:51
MD5: 8d942b1c24fc1bc16bbb5eb0cd86bad1
SHA1: 9b57f5357c16f97a4662e1a61e611de30d82e71e
SHA256: 291a1dd446a67c179b481ed47cc7a5c2bba3373143aa446c04f5f8a64b04b04b
CRC32: e6d82c84


----------------------
360杀毒2:
病毒扫描结果
----------------------
D:\mp4\0506星期五\dll.rar=>ll.rar=>dll.exe        行为和木马比较相似的程序        未处理
=======================
安天防线7:上报。。。

----------------------
本地病毒库最后更新时间:2011-5-4 14:19

在线多引擎扫描:
Status:  Scan finished.2 out of 20 scanners reported malware.
h~ttp://virusscan.jotti.org/en/scanresult/5b7c32fae387fe016bd86c1ae9bc0e41aa0f04d7


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lf968
发表于 2011-5-4 15:52:02 | 显示全部楼层
Firewall: User decision        2011/5/4 15:44        Blocked        C:\Users\xxxx\Desktop\dll\dll.exe, Outgoing TCP access blocked to: 95.143.193.138:80

Program Guard: dll.exe -> dll.exe        2011/5/4 15:44        Allowed        C:\Users\xxxx\Desktop\dll\dll.exe wants to delete executable file C:\Users\xxxx\Desktop\dll\dll.exe

Program Guard: dll.exe        2011/5/4 15:44        Blocked        C:\Users\xxxx\Desktop\dll\dll.exe wants to access hard disk directly using device \??\physicaldrive0

Program Guard: dll.exe        2011/5/4 15:44        Allowed        C:\Windows\explorer.exe -> C:\Users\xxxx\Desktop\dll\dll.exe
回复

举报

wmcxdb
发表于 2011-5-4 16:03:28 | 显示全部楼层
2011-5-4 15:58:56    创建注册表项    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\703857b0
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services*

2011-5-4 15:58:56    创建注册表项    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\703857b0
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services*

2011-5-4 15:58:56    修改注册表值    阻止
进程: f:\program files\dll\dll.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\DOCUME~1\db\LOCALS~1\Temp\3.tmp
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Control\Session Manager*

2011-5-4 15:58:56    修改注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:58:56    删除注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:58:56    删除注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:58:56    删除注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:58:56    修改注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:58:56    修改注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 3c 00 00 00 04 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:58:56    访问网络    阻止
进程: c:\windows\system32\spoolsv.exe
目标: TCP [本机 : 1105] ->  [95.143.193.138 : 80 (http)]
规则: [应用程序组]cx★(禁) -> [网络]TCP/UDP [本机 : 任意端口] -> [任意地址 : 任意端口]

2011-5-4 15:59:07    访问网络    阻止
进程: c:\windows\system32\spoolsv.exe
目标: TCP [本机 : 1106] ->  [60.169.12.75 : 80 (http)]
规则: [应用程序组]cx★(禁) -> [网络]TCP/UDP [本机 : 任意端口] -> [任意地址 : 任意端口]

2011-5-4 15:59:07    修改注册表值    阻止
进程: c:\windows\system32\spoolsv.exe
目标: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings
值: 3c 00 00 00 03 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 1c 00 00 00 68 74 74 70 3a 2f 2f 36 30 2e 31 36 39 2e 31 32 2e 37 35 2f 77 70 61 64 2e 64 61 74 80 30 f4 24 31 0a cc 01 01 00 00 00 c0 a8 01 64 00 00 00 00 00 00 00 00
规则: [应用程序组]cx系统(禁) -> [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2011-5-4 15:59:07    访问网络    阻止
进程: c:\windows\system32\spoolsv.exe
目标: TCP [本机 : 1107] ->  [95.143.193.138 : 80 (http)]
规则: [应用程序组]cx★(禁) -> [网络]TCP/UDP [本机 : 任意端口] -> [任意地址 : 任意端口]

2011-5-4 15:59:07    底层磁盘写操作    阻止
进程: c:\windows\system32\spoolsv.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序组]cx系统(禁)

2011-5-4 15:59:07    修改文件    阻止
进程: c:\windows\system32\spoolsv.exe
目标: C:\WINDOWS\system32\spoolsv.exe
规则: [应用程序组]cx系统(禁) -> [文件组]文件保护 -> [文件]c:\windows\system32\*

评分

参与人数 1人气 +1 收起 理由
ppy0606 + 1 感谢测试~

查看全部评分

回复

举报

m220011
发表于 2011-5-4 17:28:56 | 显示全部楼层
NIS miss
回复

举报

hddu
发表于 2011-5-4 18:12:21 | 显示全部楼层
2011-05-04 18:10:18    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\spoolsv.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Print\Providers
注册表名称:Order
更改后:LanMan Print Services
触发规则:应用程序规则->系统程序->%windir%\system32\spoolsv.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Print\Providers


2011-05-04 18:10:18    创建文件      操作:阻止并结束进程
进程路径:F:\virus\dll\dll.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup3250847744.exe.manifest
触发规则:高优先规则->Temp临时文件夹设置->*\Temp\*.exe.manifest

回复

举报

kjq
发表于 2011-5-4 18:23:14 | 显示全部楼层
杀软报毒直接拒绝了。
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-14 13:14 , Processed in 0.084190 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表