gmsip.exe

显示全部楼层 · 发表于 2011-6-27 11:50:16

2011-06-27 11:47:04 删除注册表    操作:允许
进程路径:F:\virus\gmsip\gmsip.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:MigPwd
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-06-27 11:47:04 删除注册表    操作:使用任务隔离区操作
进程路径:F:\virus\gmsip\gmsip.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:AutoAdminLogon
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*

2011-06-27 11:47:04 删除注册表    操作:阻止
进程路径:F:\virus\gmsip\gmsip.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:DefaultPassword
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

显示全部楼层 · 发表于 2011-6-27 12:00:13

本帖最后由 liulangzhecgr 于 2011-6-27 12:07 编辑

不好意思ls ! 用md默认规则,只好跟ls日志比较... ...

-----------------------------------------------------------------------------

2011-6-27 11:59:57 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\gmsip\gmsip.exe
命令行: "E:\DownLoads\gmsip\gmsip.exe"
规则: [应用程序]*

2011-6-27 12:00:18 创建新进程允许
进程: e:\downloads\gmsip\gmsip.exe
目标: c:\windows\system32\oobe\oobebaln.exe
命令行: C:\WINDOWS\system32\oobe\oobebaln.exe /init
规则: [应用程序]*

2011-6-27 12:00:35 创建文件阻止
进程: c:\windows\system32\oobe\oobebaln.exe
目标: C:\WINDOWS\setuplog.txt
规则: [文件]*; *.txt

2011-6-27 12:00:42 删除注册表值允许
进程: e:\downloads\gmsip\gmsip.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MigPwd
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011-6-27 12:00:53 修改注册表值允许
进程: e:\downloads\gmsip\gmsip.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\E:\DownLoads\gmsip\gmsip.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

显示全部楼层 · 发表于 2011-6-27 12:40:43

liulangzhecgr 发表于 2011-6-27 12:00
不好意思ls ! 用md默认规则,只好跟ls日志比较... ...

---------------------------------------------- ...

HIPS不同，规则设置不同，效果自然不同，不足奇怪，系统无异常就OK了。

显示全部楼层 · 发表于 2011-6-27 14:02:42

过金山。。。。
过红伞扫描。。。。。。。。。
过微点扫描。。。。。。。。。。
双击测试。。。。。。。。。。
继续过微点。。。。
继续过红伞。。。。。。。
程序启动后迅速退出。。。
没发现异常。。。。
是病毒吗？？

显示全部楼层 · 发表于 2011-6-27 14:04:36

金山报安全

显示全部楼层 · 发表于 2011-6-28 12:03:11

掃瞄偵測為【】，
已進行隔離/刪除動作。

掃瞄偵測到【】個惡意檔案，【】個 Kaspersky Cloud，【】個啟發，【】個特徵碼，
一隻病毒一條特徵碼，傻眼，囧rz，
剩餘【1】個可疑文件MISS，無威脅存在，已提交至 Kaspersky 分析行為。

显示全部楼层 · 发表于 2011-6-28 13:00:25

就是安全的！

显示全部楼层 · 发表于 2011-6-28 13:48:48

补充 XP-巴西葡语版

显示全部楼层 · 发表于 2011-6-28 13:53:34

nod 金山怎么没报

显示全部楼层 · 发表于 2011-6-28 18:21:28

BD仍然报安全

[病毒样本] gmsip.exe