注册 | 登录

游侠NETSHOW论坛





游侠NETSHOW论坛 游侠NETSHOW论坛 模拟人生3:前进未来+模拟人生3:岛屿天堂+模拟人生3:大学生活+模拟人生3:春夏秋冬+模拟人生3:玩美宠物+模拟人生3:花样年华+模拟人生3:夜店人生 版主还有懂的人请进来,SIMS3免CD检测出病毒 ...
返回列表 发新帖
查看: 2591|回复: 2
打印 上一主题 下一主题

版主还有懂的人请进来,SIMS3免CD检测出病毒  关闭 [复制链接]

yuye413813

帖子
240
精华
0
积分
120
金钱
785
荣誉
0
人气
0
评议
0
跳转到指定楼层
楼主
发表于 2009-6-16 18:33:08 |显示全部楼层 |倒序浏览
版主还有各位懂的人请帮我看看 ,我是在游侠补丁网上下的免CD  .(TS3.EXE 文件) 下完以后红伞检测说是有病毒  我原本以为是误报没在意。

   就重新下载了一个  当然还是游侠补丁上的。  结果下载了以后  解压缩红伞又继续报毒,而且360安全卫士也报告说有可以程序注入QQ进程

   我不明白是怎么回事,所以就贴上来请版主还有各位前辈请教下。 下面是截图。





因为360的那个我不小心点没 没有截图  但是确实是真的·    请帮忙解答一下
附件: 你需要登录才可以下载或查看附件。没有帐号?注册
你让我滚 我滚了   你让我回来。。对不起。。。滚远了.....

使用道具 举报

yuye413813

帖子
240
精华
0
积分
120
金钱
785
荣誉
0
人气
0
评议
0
沙发
发表于 2009-6-16 18:35:56 |显示全部楼层
改用附件了  还好没超过大小

现在能看了
你让我滚 我滚了   你让我回来。。对不起。。。滚远了.....

使用道具 举报

yuye413813

帖子
240
精华
0
积分
120
金钱
785
荣誉
0
人气
0
评议
0
板凳
发表于 2009-6-16 18:43:39 |显示全部楼层
我自己查了一下
病毒名称:AntiVir :TR/Crypt.XPACK.Gen  
                    AVG :Agent_r.I  
                    Kaspersky  :-
                    NOD32v2:-
                    Rising  :-
VT查杀率: 6/36 (16.67% )
VT扫描时间:2008.09.06 08:57:17 (CET)

EQS  Lab编号:080906050
EQS  Lab地址:http://hi.baidu.com/eqsyssecurity
病毒大小:29.5 KB (30,208 字节)
MD5码:B792D7541D10A47BBA1CCF30B7C1F7C9
病毒类型: 特洛伊木马、
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean)      EQSecurity(HIPS) 实机
危害程度:高


病毒行为:

运行后会SCM


Quote:

2008-09-06 15:06:35    访问服务管理器      
进程路径:F:\Once\mail\email.exe
触发规则:所有程序规则->*



修改Security Center、WindowsFirewall设置以绕过联网

Quote:

2008-09-06 15:06:37    创建注册表值      
进程路径:F:\Once\mail\email.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2008-09-06 15:06:37    创建注册表值      
进程路径:F:\Once\mail\email.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2008-09-06 15:06:37    创建注册表值      
进程路径:F:\Once\mail\email.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
注册表名称:[Key]
触发规则:所有程序规则->网络相关->*\Software\Policies\Microsoft\Windowsfirewall*

2008-09-06 15:06:37    创建注册表值      
进程路径:F:\Once\mail\email.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
注册表名称:[Key]
触发规则:所有程序规则->网络相关->*\Software\Policies\Microsoft\Windowsfirewall*



向WINDOWS目录创建BAT  EXE

Quote:

2008-09-06 15:06:37    创建文件      
进程路径:F:\Once\mail\email.exe
文件路径:C:\WINDOWS\file.bat
触发规则:所有程序规则->文件阻止及保护->?:\*.bat

2008-09-06 15:06:38    创建文件      
进程路径:F:\Once\mail\email.exe
文件路径:C:\windows\services.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe


BAT内容

Quote:

netsh firewall add allowedprogram F:\Once\mail\email.exe allowed ENABLEdel



调用BAT

Quote:

2008-09-06 15:07:34    运行应用程序      
进程路径:F:\Once\mail\email.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "file.bat"
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

2008-09-06 15:07:37    运行应用程序      
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\netsh.exe
命令行:firewall add allowedprogram F:\Once\mail\email.exe allowed ENABLE
触发规则:所有程序规则->系统工具->%windir%\system32\netsh.exe



调用EXE

Quote:

2008-09-06 15:07:43    运行应用程序      
进程路径:F:\Once\mail\email.exe
文件路径:C:\WINDOWS\services.exe
触发规则:所有程序规则->阻止运行->%windir%\*



SCM

Quote:

2008-09-06 15:07:47    访问服务管理器      
进程路径:C:\WINDOWS\services.exe
触发规则:所有程序规则->*



修改Security Center、WindowsFirewall设置以绕过联网

Quote:

2008-09-06 15:07:48    创建注册表值      
进程路径:C:\WINDOWS\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2008-09-06 15:07:48    创建注册表值      
进程路径:C:\WINDOWS\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2008-09-06 15:07:48    创建注册表值      
进程路径:C:\WINDOWS\services.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
注册表名称:[Key]
触发规则:所有程序规则->网络相关->*\Software\Policies\Microsoft\Windowsfirewall*

2008-09-06 15:07:48    创建注册表值      
进程路径:C:\WINDOWS\services.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
注册表名称:[Key]
触发规则:所有程序规则->网络相关->*\Software\Policies\Microsoft\Windowsfirewall*



创建BAT  如已存在则覆盖

Quote:

2008-09-06 15:07:48    修改文件      
进程路径:C:\WINDOWS\services.exe
文件路径:C:\WINDOWS\file.bat
触发规则:所有程序规则->文件阻止及保护->?:\*.bat

2008-09-06 15:07:52    运行应用程序      
进程路径:C:\WINDOWS\services.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "file.bat"
触发规则:高优先规则->In Side->%windir%\system32\cmd.exe

2008-09-06 15:07:54    运行应用程序      
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\netsh.exe
命令行:firewall add allowedprogram F:\Once\mail\email.exe allowed ENABLE
触发规则:所有程序规则->系统工具->%windir%\system32\netsh.exe



修改自身

Quote:

2008-09-06 15:07:58    修改文件      
进程路径:C:\WINDOWS\services.exe
文件路径:C:\windows\services.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe






联网行为:




关键行为:


向windows目录创建文件

修改Security Center、WindowsFirewall设置
你让我滚 我滚了   你让我回来。。对不起。。。滚远了.....

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

手机版|Archiver|游侠NETSHOW论坛 ( 苏ICP备2023007791号 )

GMT+8, 2025-8-12 16:29 , Processed in 0.383998 second(s), 13 queries , Gzip On, Memcache On.

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.
分享到