手動 HIPS 看看這隻。

星晨

LisaLan 发表于 2011-10-27 14:07
运行测试一下BD的主防

双击后主防阻挡恶意程式

LisaLan

星晨 发表于 2011-10-27 14:21
双击后主防阻挡恶意程式

能截图或者把日志复制上来吗

cliuyou

a256886572008 发表于 2011-10-27 13:16
可以給一下，病毒調用 rundll32.exe 時，是用什麼命令行嗎？

2011-10-27 14:52:16    创建新进程    允许
进程: c:\documents and settings\administrator\local settings\temp\a.tmp
目标: c:\windows\system32\rundll32.exe
命令行: rundll32 shell32,Control_RunDLL "C:\WINDOWS\java\classes\9f92f06f.z"
规则: [应用程序]*

星晨

LisaLan 发表于 2011-10-27 14:32
能截图或者把日志复制上来吗

liulangzhecgr

a256886572008 发表于 2011-10-27 13:16
可以給一下，病毒調用 rundll32.exe 時，是用什麼命令行嗎？

2011-10-27 12:45:51    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\tl\tl.exe
命令行: "E:\downloads\tl\tl.exe"
规则: [应用程序]*

2011-10-27 12:46:00    创建文件    允许
进程: e:\downloads\tl\tl.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp
规则: [文件]*

2011-10-27 12:46:09    修改文件    允许
进程: e:\downloads\tl\tl.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\1.tmp
规则: [文件]*

2011-10-27 12:46:27    创建新进程    允许
进程: e:\downloads\tl\tl.exe
目标: c:\documents and settings\administrator\local settings\temp\1.tmp
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp" "E:\downloads\tl\tl.exe" "272"
规则: [应用程序]*

2011-10-27 12:46:38    创建文件    允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp
目标: C:\WINDOWS\java\classes\e343c1eb.z
规则: [文件]*

2011-10-27 12:46:45    修改文件    允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp
目标: C:\WINDOWS\java\classes\e343c1eb.z
规则: [文件]*

2011-10-27 12:46:54    创建新进程    允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp
目标: c:\windows\system32\rundll32.exe
命令行: rundll32 shell32,Control_RunDLL "C:\WINDOWS\java\classes\e343c1eb.z"
规则: [应用程序]*

2011-10-27 12:47:09    创建注册表项    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7B3AC3FA-B695-41b6-BAA0-860EB5EB6FD6}
规则: [注册表]*

2011-10-27 12:47:27    修改注册表值    允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7B3AC3FA-B695-41b6-BAA0-860EB5EB6FD6}\{F69EB73C-700A-42c9-8F9D-E8C4ABC27EF3}
值: e343c1eb.z,1317063542,-1314480829,-1814625877
规则: [注册表]*

2011-10-27 12:47:30    删除文件    允许
进程: c:\documents and settings\administrator\local settings\temp\1.tmp
目标: E:\downloads\tl\tl.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-10-27 12:47:35    创建文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\WINDOWS\msaspy.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-10-27 12:47:40    修改文件    允许
进程: c:\windows\system32\rundll32.exe
目标: C:\WINDOWS\msaspy.dll
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll

2011-10-27 12:47:56    修改注册表值    阻止
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32
值: C:\WINDOWS\msaspy.dll
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-10-27 12:48:02    创建新进程    允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32 "C:\WINDOWS\msaspy.dll",_RunAs@16
规则: [应用程序]*

rundll32.exe进程强制结束！

7758521wang

360未知 MSE杀

mxf147

2011-10-27 17:03:43         C:\Documents and Settings\Administrator\桌面\virus\tl.exe         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp
2011-10-27 17:03:46         C:\Documents and Settings\Administrator\桌面\virus\tl.exe         创建进程, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp
2011-10-27 17:03:49         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp         修改文件, 可疑病毒         \Device\KsecDD
2011-10-27 17:03:50         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp         修改文件, 可疑病毒         C:\WINDOWS\java\classes\386dc1.z
2011-10-27 17:03:53         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp         访问内存, 可疑病毒         C:\Documents and Settings\Administrator\桌面\virus\tl.exe
2011-10-27 17:03:57         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp         终止进程, 可疑病毒         C:\Documents and Settings\Administrator\桌面\virus\tl.exe
2011-10-27 17:03:58         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp         创建进程         C:\WINDOWS\system32\rundll32.exe
2011-10-27 17:04:00         C:\Documents and Settings\Administrator\Local Settings\Temp\3.tmp         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\桌面\virus\tl.exe

hx1997

ESET killed

C:\Users\Gateway\Desktop\tl.7z > 7ZIP > tl.exe - Win32/PSW.OnLineGames.PUC 特洛伊木马 的变种

hx1997

ESET HIPS 第一次测试

2011-10-27 18:39:51        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\C27.tmp        启动新应用程序        C:\WINDOWS\system32\rundll32.exe        已阻止        002.脚本       

2011-10-27 18:39:50        C:\Documents and Settings\Administrator\桌面\tl.exe        启动新应用程序        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\C27.tmp        已允许        020.临时文件夹       

hx1997

第二次测试

2011-10-27 18:40:58        C:\WINDOWS\system32\rundll32.exe        获取文件访问权        C:\WINDOWS\msaspy.dll        阻止一些访问        086.%windir%\system32\rundll32.exe>阻止访问        写入到文件

2011-10-27 18:40:58        C:\WINDOWS\system32\rundll32.exe        获取文件访问权        C:\WINDOWS\msaspy.dll        阻止一些访问        086.%windir%\system32\rundll32.exe>阻止访问        写入到文件

2011-10-27 18:40:58        C:\WINDOWS\system32\rundll32.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7B3AC3FA-B695-41b6-BAA0-860EB5EB6FD6}\{F69EB73C-700A-42c9-8F9D-E8C4ABC27EF3}        已阻止        032.%windir%\system32\rundll32.exe>HKEY_LOCAL_MACHINE\Software\Classes\CLSID\*       

2011-10-27 18:40:54        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\C2B.tmp        启动新应用程序        C:\WINDOWS\system32\rundll32.exe        已允许        002.脚本       

2011-10-27 18:40:52        C:\Documents and Settings\Administrator\桌面\tl.exe        启动新应用程序        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\C2B.tmp        已允许        020.临时文件夹