烂病毒害死人，求解决之道

显示全部楼层 · 发表于 2011-11-8 11:45:23

本帖最后由 hddu 于 2011-11-8 18:19 编辑

2011-11-08 11:44:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-11-08 11:44:13 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:13 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:13 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:13 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:13 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UpdatesDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:13 创建注册表值    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UacDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:14 创建注册表值    操作:使用任务隔离区操作
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
注册表名称:EnableLUA
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2011-11-08 11:44:17 创建注册表值    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表名称:F:\virus\wvicu\wvicu.txt.exe
触发规则:所有程序规则->网络保护->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

2011-11-08 11:44:17 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:C:\WINDOWS\SYSTEM.INI
触发规则:所有程序规则->需要保护的文件->%windir%\system.ini

2011-11-08 11:44:17 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:17 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\mixer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:17 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->*

2011-11-08 11:44:17 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2011-11-08 11:44:27 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:28 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\mixer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:28 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->*

2011-11-08 11:44:28 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2011-11-08 11:44:33 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\eqsecure4.1pro.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:35 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:E:\BIOS_BACKUP_TOOKIT\BIOS_Backup_TooKit.EXE
触发规则:应用程序规则->其它文件设置->D:\*->E:\*.exe

2011-11-08 11:44:38 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:38 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\mixer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:38 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->*

2011-11-08 11:44:38 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2011-11-08 11:44:39 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\virus\load\load\aa1-9.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:39 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\WINXPSP2\GHOST\GHOST.EXE
触发规则:应用程序规则->需要保护的文件->?:\*->*\GHOST.EXE

2011-11-08 11:44:39 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:E:\UNLOCKERS\Unlocker V1.9.1.exe
触发规则:应用程序规则->其它文件设置->D:\*->E:\*.exe

2011-11-08 11:44:41 修改注册表内容    操作:使用任务隔离区操作
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-11-08 11:44:41 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:41 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:41 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:41 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:41 修改注册表内容    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UpdatesDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:41 创建注册表值    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UacDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2011-11-08 11:44:41 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\virus\load\load\aa1-8.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:42 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\virus\load\load\aa1-7.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:44 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\virus\load\load\aa1-1.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:45 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\virus\load\load\aa1-3.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:48 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:48 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\mixer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:48 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->*

2011-11-08 11:44:48 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2011-11-08 11:44:50 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\ARSWP3_X86\ARSWP3_X86\ARSWP3\ArSwp3.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:54 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:E:\WYWZ\WYWZ\PluginMaker.exe
触发规则:应用程序规则->其它文件设置->D:\*->E:\*.exe

2011-11-08 11:44:58 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:F:\屏幕截图宝\屏幕截图宝.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-11-08 11:44:58 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:E:\WYWZ\WYWZ\subinacl.exe
触发规则:应用程序规则->其它文件设置->D:\*->E:\*.exe

2011-11-08 11:44:58 修改文件    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:E:\WYWZ\WYWZ\Wywz.exe
触发规则:应用程序规则->其它文件设置->D:\*->E:\*.exe

2011-11-08 11:44:58 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:58 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\mixer.exe
触发规则:所有程序规则->*

2011-11-08 11:44:58 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\WINDOWS\system32\ctfmon.exe
触发规则:所有程序规则->*

2011-11-08 11:44:58 修改其它进程内存    操作:阻止
进程路径:F:\virus\wvicu\wvicu.txt.exe
目标进程:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->*

2011-11-08 11:45:01 创建文件    操作:阻止并结束进程
进程路径:F:\virus\wvicu\wvicu.txt.exe
文件路径:C:\autorun.inf
触发规则:所有程序规则->白名单与黑名单->?:\autorun.*

显示全部楼层 · 发表于 2011-11-8 11:45:59

千里同风发表于 2011-11-8 11:41
感染该病毒的优盘样子，病毒的名称不同，扩展名也不同，但实质都是一个东西

http://tools.micropoint.com.cn/A00000013

显示全部楼层 · 发表于 2011-11-8 11:53:42

完整路径: c:\users\sshss\downloads\wvicu (1)\wvicu.txt
____________________________
____________________________
在电脑上的创建时间不可用
上次使用时间 2011/11/8 ( 11:54:05 )
启动项目否
已启动否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________
http://119.147.150.21/down_group ... &file=wvicu.rar 已下载文件wvicu.txt
威胁名称:
W32.Sality!dr自
119.147.150.21
____________________________
文件操作
文件: c:\users\sshss\downloads\wvicu (1)\wvicu.txt
已删除
____________________________
文件指纹 - SHA:
489244bd171abd951f63202f83667c1b64b8006114942c1c93376581cbb2c5ec
____________________________
文件指纹 - MD5:
a99ef1663e3f2b8785707acbcf01317c
____________________________

显示全部楼层 · 发表于 2011-11-8 12:05:27

红伞miss，to

显示全部楼层 · 发表于 2011-11-8 12:30:16

感染性病毒。。。

显示全部楼层 · 发表于 2011-11-8 12:31:56

被感染文件，卡巴成功清除病毒

显示全部楼层 · 发表于 2011-11-8 13:23:41

本帖最后由 zhou0197 于 2011-11-8 13:24 编辑

感染型，比较凶猛……
下面是一些主要行为，除此之外就是疯狂的感染了！

2011-11-8 13:00:59 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\我的文档\desktop\wvicu.exe
命令行: "D:\我的文档\Desktop\wvicu.exe"
规则: [应用程序]*

2011-11-8 13:01:00 修改注册表值允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000002(2)
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\*

2011-11-8 13:01:00 修改注册表值允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2011-11-8 13:01:01 向其他进程发送消息允许
进程: d:\我的文档\desktop\wvicu.exe
目标: c:\windows\explorer.exe
消息: WM_DDE_EXECUTE
规则: [应用程序]*

2011-11-8 13:01:01 修改注册表值允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
值: 0x00000000(0)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*

2011-11-8 13:01:02 修改文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\WINDOWS\system.ini
规则: [文件组]系统关键文件 -> [文件]c:\windows; system.ini

2011-11-8 13:01:03 修改其他进程的内存允许
进程: d:\我的文档\desktop\wvicu.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-11-8 13:01:04 在其他进程中创建线程允许
进程: d:\我的文档\desktop\wvicu.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-11-8 13:01:21 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\winenwsh.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-8 13:01:44 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\autorun.inf
规则: [文件]?:\

2011-11-8 13:01:45 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\kwrec.exe
规则: [文件]?:\

2011-11-8 13:01:46 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: D:\autorun.inf
规则: [文件]?:\

2011-11-8 13:01:47 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: D:\kdccyr.exe
规则: [文件]?:\

2011-11-8 13:01:48 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: E:\autorun.inf
规则: [文件]?:\

2011-11-8 13:01:49 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: E:\kchmi.pif
规则: [文件]?:\

2011-11-8 13:01:55 设置文件隐藏属性允许
进程: d:\我的文档\desktop\wvicu.exe
目标: D:\我的文档\Desktop\wvicu.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-8 13:03:11 删除注册表值允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2011-11-8 13:03:12 删除注册表项允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2011-11-8 13:03:12 删除注册表项允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2011-11-8 13:03:13 删除注册表项允许
进程: d:\我的文档\desktop\wvicu.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

2011-11-8 13:03:14 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\ipfltdrv.sys
规则: [应用程序]c:\windows\system32\services.exe

2011-11-8 13:03:14 创建文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\WINDOWS\system32\drivers\fpmo.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-11-8 13:03:15 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-11-8 13:03:15 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-11-8 13:03:16 修改文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{052CFB79-9D62-42E3-8A15-DE66C2C97C3E}\NewShortcut2_E88611396FF84AFCB2EE5C1594058E02.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-8 13:03:29 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-11-8 13:03:32 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-11-8 13:06:36 访问网络允许
进程: d:\我的文档\desktop\wvicu.exe
目标: UDP [本机 : 1061] -> [78.96.105.81 : 5750]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-11-8 13:06:36 修改文件允许
进程: d:\我的文档\desktop\wvicu.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\~TXQQ2052~0\program files\Tencent\QQ2009\Bin\QQHostService.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-8 13:11:04 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2011-11-8 13:11:04 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
值: 0x00000000(0)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*

2011-11-8 13:11:05 修改其他进程的内存允许
进程: c:\windows\explorer.exe
目标: d:\program files\malware defender\malwaredefender.exe
规则: [应用程序]c:\windows\explorer.exe

2011-11-8 13:11:05 在其他进程中创建线程允许
进程: c:\windows\explorer.exe
目标: d:\program files\malware defender\malwaredefender.exe
规则: [应用程序]c:\windows\explorer.exe

多引擎：http://www.virustotal.com/file-s ... cbb2c5ec-1320728878

确定是sality，可以考虑12楼的专杀，或者是卡巴的专杀：http://support.kaspersky.com/viruses/utility

最后上一下金山急救箱。

显示全部楼层 · 发表于 2011-11-8 13:39:08

AVG KILL，金山卫士 MISS

显示全部楼层 · 发表于 2011-11-8 13:47:53

显示全部楼层 · 发表于 2011-11-8 14:00:07

费尔毫无压力

[病毒样本] 烂病毒害死人，求解决之道

评分

本帖子中包含更多资源

本帖子中包含更多资源