极虎木马.docx
- 文档编号:15733563
- 上传时间:2023-07-07
- 格式:DOCX
- 页数:57
- 大小:27.05KB
极虎木马.docx
《极虎木马.docx》由会员分享,可在线阅读,更多相关《极虎木马.docx(57页珍藏版)》请在冰点文库上搜索。
极虎木马
2010-12-3000:
39:
48c:
\windows\explorer.exe创建新进程c:
\documentsandsettings\administrator\桌面\qvodsetup_d8_1020.exe允许[应用程序]*命令行:
"C:
\DocumentsandSettings\Administrator\桌面\QvodSetup_D8_1020.exe"
2010-12-3000:
39:
48c:
\documentsandsettings\administrator\桌面\qvodsetup_d8_1020.exe创建文件C:
\DocumentsandSettings\Administrator\LocalSettings\Temp\ReInstall.exe允许[文件组]所有执行文件->[文件]*;*.exe
2010-12-3000:
39:
49c:
\documentsandsettings\administrator\桌面\qvodsetup_d8_1020.exe创建新进程c:
\documentsandsettings\administrator\localsettings\temp\reinstall.exe允许[应用程序]*命令行:
"C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ReInstall.exe"
2010-12-3000:
39:
49c:
\documentsandsettings\administrator\localsettings\temp\reinstall.exe创建文件C:
\DelInfo.bin允许[文件]?
:
\
2010-12-3000:
39:
49c:
\documentsandsettings\administrator\localsettings\temp\reinstall.exe修改文件C:
\WINDOWS\system32\qmgr.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
39:
49c:
\documentsandsettings\administrator\localsettings\temp\reinstall.exe启动驱动程序或服务BackgroundIntelligentTransferService允许[应用程序]*文件路径:
C:
\WINDOWS\system32\svchost.exe-knetsvcs
2010-12-3000:
39:
50c:
\windows\system32\svchost.exe删除文件C:
\DocumentsandSettings\Administrator\LocalSettings\Temp\ReInstall.exe允许[文件组]所有执行文件->[文件]*;*.exe
2010-12-3000:
39:
50c:
\windows\system32\svchost.exe删除文件C:
\DelInfo.bin允许[文件]?
:
\
2010-12-3000:
39:
50c:
\windows\system32\svchost.exe创建文件C:
\WINDOWS\TEMP\wowsub.sys允许[文件组]系统执行文件->[文件]c:
\windows\*;*.sys
2010-12-3000:
39:
50c:
\windows\system32\services.exe创建注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wowsub允许[注册表组]自动运行程序所在位置->[注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
2010-12-3000:
39:
50c:
\windows\system32\services.exe修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wowsub\ImagePath允许[注册表组]自动运行程序所在位置->[注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*;ImagePath值:
\?
?
\C:
\WINDOWS\TEMP\wowsub.sys
2010-12-3000:
39:
51c:
\windows\system32\services.exe加载驱动程序c:
\windows\temp\wowsub.sys允许[应用程序]c:
\windows\system32\services.exe
2010-12-3000:
39:
51c:
\windows\system32\svchost.exe删除注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wowsub允许[注册表组]自动运行程序所在位置->[注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
2010-12-3000:
39:
53c:
\windows\system32\svchost.exe删除注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}允许[注册表组]系统设置->[注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
2010-12-3000:
39:
53c:
\windows\system32\svchost.exe创建新进程c:
\programfiles\internetexplorer\iexplore.exe允许[应用程序]*命令行:
"C:
\ProgramFiles\InternetExplorer\iexplore.exe":
7777/tj/mac.html
2010-12-3000:
39:
53c:
\windows\system32\svchost.exe修改文件C:
\WINDOWS\system32\drivers\etc\hosts允许[文件组]系统关键文件->[文件]c:
\windows\system32\drivers\etc
2010-12-3000:
39:
53c:
\windows\system32\svchost.exe访问网络UDP[本机:
57612]->[202.102.152.3:
53(domain)]允许[网络]任意协议[本机:
任意端口]<->[任意地址:
任意端口]
2010-12-3000:
39:
54c:
\windows\system32\svchost.exe创建新进程c:
\windows\system32\ping.exe允许[应用程序]*命令行:
C:
\WINDOWS\system32\ping.exe-n1-w40000.0.0.2
2010-12-3000:
39:
54c:
\windows\system32\svchost.exe访问网络UDP[本机:
1026]->[127.0.0.1:
1026]允许[网络]任意协议[本机:
任意端口]<->[任意地址:
任意端口]
2010-12-3000:
39:
54c:
\programfiles\internetexplorer\iexplore.exe启动驱动程序或服务RemoteAccessConnectionManager允许[应用程序]*文件路径:
C:
\WINDOWS\system32\svchost.exe-knetsvcs
2010-12-3000:
39:
54c:
\windows\system32\svchost.exe创建新进程c:
\programfiles\winrar\rar.exe允许[应用程序]*命令行:
"C:
\ProgramFiles\WinRAR\Rar.exe"X-ibck"G:
\1\8111c半圈.rar""C:
\WINDOWS\TEMP\8111c半圈\"
2010-12-3000:
39:
55c:
\windows\system32\svchost.exe访问网络UDP[本机:
57612]->[202.102.128.68:
53(domain)]允许[网络]任意协议[本机:
任意端口]<->[任意地址:
任意端口]
2010-12-3000:
39:
55c:
\windows\system32\svchost.exe访问网络TCP[本机:
1027]->[91.199.212.174:
80(http)]允许[网络]任意协议[本机:
任意端口]<->[任意地址:
任意端口]
2010-12-3000:
39:
56c:
\windows\system32\svchost.exe访问网络TCP[本机:
1030]->[121.11.92.188:
8080]允许[网络]任意协议[本机:
任意端口]<->[任意地址:
任意端口]
2010-12-3000:
39:
56c:
\windows\system32\svchost.exe访问网络TCP[本机:
1032]->[60.6.200.29:
80(http)]允许[网络]任意协议[本机:
任意端口]<->[任意地址:
任意端口]
2010-12-3000:
39:
56c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\8111c半圈\8111c半圈\8111c半圈\Rtenic.sys允许[文件组]系统执行文件->[文件]c:
\windows\*;*.sys
2010-12-3000:
39:
56c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\8111c半圈\8111c半圈\8111c半圈\Rtenic64.sys允许[文件组]系统执行文件->[文件]c:
\windows\*;*.sys
2010-12-3000:
39:
56c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\8111c半圈\8111c半圈\8111c半圈\Rtenicxp.sys允许[文件组]系统执行文件->[文件]c:
\windows\*;*.sys
2010-12-3000:
39:
57c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\Greenbrowserzq\Greenbrowserzq\GreenBrowser.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
57c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\CHKenMD5.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
58c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\Greenbrowserzq\Greenbrowserzq\GreenBrowser.exe.manifest允许[文件组]所有执行文件->[文件]*;*.manifest
2010-12-3000:
39:
58c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\Hash.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
58c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\HashCalc.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
58c:
\programfiles\internetexplorer\iexplore.exe创建新进程c:
\programfiles\internetexplorer\iexplore.exe允许[应用程序]*命令行:
"C:
\ProgramFiles\InternetExplorer\iexplore.exe"SCODEF:
296CREDAT:
14337
2010-12-3000:
39:
58c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\HashMyFiles.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
58c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\MD5.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
59c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\Md5Check.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
59c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\md5summer.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
59c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\MD5检验器(Md5Check).exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
39:
59c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\Greenbrowserzq\Greenbrowserzq\Plugin\NotTroubleMeGB\NotTroubleMe.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
00c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\Md5检验工具V2.0.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
00c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\WindowsMD5Check.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
01c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\WinMD5.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
02c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\12-MD5\12-MD5\清除md5summer的注册表.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
02c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\Greenbrowserzq\Greenbrowserzq\Plugin\SnapShot\CameraDll.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
03c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
03c:
\programfiles\internetexplorer\iexplore.exe访问COM接口{9BA05972-F6A8-11CF-A442-00A0C90A8F39}ShellWindows允许[应用程序]*->[COM接口]{9BA05972-F6A8-11CF-A442-00A0C90A8F39}文件路径:
C:
\WINDOWS\system32\ieframe.dll
2010-12-3000:
40:
04c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_bench.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
04c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_cpl.cpl允许[文件组]系统执行文件->[文件]c:
\windows\*;*.cpl
2010-12-3000:
40:
04c:
\programfiles\winrar\rar.exe创建文件E:
\Greenbrowserzq.rar允许[文件]?
:
\
2010-12-3000:
40:
04c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_cpuid.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
05c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_diskbench.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
05c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_icons.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
06c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_lglcd.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
06c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_mondiag.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
07c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_xpicons.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
07c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\EVE硬件查看器XP查看\Lavalys.EVEREST.Ultimate.Edition.v4.00.976\everest_zipdll.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
19c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\wxcltim\wxcltim.exe允许[文件组]系统执行文件->[文件]c:
\windows\*;*.exe
2010-12-3000:
40:
20c:
\programfiles\winrar\rar.exe创建文件C:
\WINDOWS\TEMP\DiskGenius\DiskGenius\update.dll允许[文件组]系统执行文件->[文件]c:
\windows\*;*.dll
2010-12-3000:
40:
20c:
\programfile
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 木马