刚才电脑中招了，，360居然没提示。。

QQ好友发了一张图片 打开就被远程控制了，， 真是醉了。。

• 行为描述：结束指定进程
  附加信息：
  conime.exe
  
  
  
• 行为描述：查找安全软件进程
  附加信息：
  kxescore.exe
  zhudongfangyu.exe
  
  
  
  

其他行为监控

• 行为描述：遍历磁盘类型
  附加信息：
  B:,C:,D:,E:,F:,G:,H:,I:,J:,K:,L:,M:,N:,O:,P:,Q:,R:,S:,T:,U:,V:,W:,X:,Y:,Z:
  
  
  
• 行为描述：检测是否存在指定注册表键
  附加信息：
  HKEY_CURRENT_USER\Software\Bits
  
  
  
• 行为描述：在其他进程中申请内存
  附加信息：
  %system%\rundll32.exe
  
  
  
• 行为描述：创建互斥体
  附加信息：
  "_!SHMSFTHISTORY!_"
  "c:!documents and settings!administrator!local settings!history!history.ie5!mshist012013012320130124!"
  "t.qq.com/shayu_846135"
  
  
  
• 行为描述：创建进程
  附加信息：
  %system%\rundll32.exe
  
  
  
• 行为描述：搜索指定窗口
  附加信息：
  ["ShImgVw:CPreviewWnd" , ""]
  
  
  
  

文件操作监控

操作

文件MD5

文件大小

文件路径

新增

76ef380020bdda080ac89b4a9840383c

212992

%APPDATA%\REAPER\\nestras.dll

新增

1878ea7e8a296c4a21a20b0fd56b0bbd

324

%APPDATA%\REAPER\\reaper.inf

新增

5071edd24b93fc5ccc492d4d45ce546b

135213

%APPDATA%\REAPER\\Temp

进程操作监控

• 创建进程：rundll32.exe
  启动参数："%APPDATA%\reaper\nestras.dll" reaper
  
• 创建进程：rundll32.exe
  启动参数：shimgvw.dll,ImageView_Fullscreen %ProgramFiles%\bbs.bmp
  
• 创建进程：%system%\RUNDLL32.exe
  启动参数："%system%\rundll32.exe" "%APPDATA%\reaper\nestras.dll" reaper
  
• 创建进程：%system%\RUNDLL32.exe
  启动参数："%system%\rundll32.exe" shimgvw.dll,ImageView_Fullscreen %ProgramFiles%\bbs.bmp
  
• 创建进程：%system%\RUNDLL32.exe
  启动参数：%system%\shimgvw.dll,ImageView_Fullscreen C:\PROGRA~1\pdf.bmp
  
• 创建进程：%system%\RUNDLL32.exe
  启动参数："%system%\rundll32.exe" %system%\shimgvw.dll,ImageView_Fullscreen C:\PROGRA~1\pdf.bmp
  
  

• 新增
• 删除
• 修改
  

注册表监控

• HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Explorer\FileE...
  

网络监控

• 网络操作[Connect HOST]113.86.187.175:7450
  [Open URL]113.86.187.175
  
  

您好，

请您提供一下具体的病毒样本，我们提交给相关工作人员核实分析，谢谢。