JPG[A6EFD8]

duandxxi

我的AVG的免费的报了

微点卫士

原帖由 bridgewr 于 2007-8-13 20:36 发表


你是什么版本的微点，我是预升级的571。0056，微点处理没问题，楼主要把后缀改成exe，就可以运行了。

程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\X.EXE
木马程序生成以下文件:
1) C:\WINDOWS.0\SYSTEM32\DRIVERS\KIS.SYS
是否删除木马程序及其衍生物?

果然，如果直接把图片文件上报，微点回复是：
解压后只是一个 某某。jpg 文件，但是无法显示图片，也没有新的可疑进程运行，请问您是否有这个病毒样本的源样本

gtc

BitDefender

This web page has been blocked by BitDefender Antivirus Real-time Protection!

The blocked web page included objects that were either infected or likely to be infected with a virus. Your system has NOT been infected

a256886572008

EQ-Secure V3.4

2007-08-14 10:57:56    創建文件      操作:允許
進程路徑:D:\desktop\virus\桌面\x.exe
文件路徑:C:\windows\system32\drivers\KIS.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-08-14 10:57:57    創建文件      操作:允許
進程路徑:D:\desktop\virus\桌面\x.exe
文件路徑:C:\windows\system32\drivers\KIS.ksm
觸發規則:所有程序規則->全局設置_普通模式->*


2007-08-14 10:57:57    加載驅動程序      操作:阻止
進程路徑:D:\desktop\virus\桌面\x.exe
驅動名稱:KIS.sys
觸發規則:所有程序規則->*


2007-08-14 10:57:59    創建文件      操作:允許
進程路徑:D:\desktop\virus\桌面\x.exe
文件路徑:C:\windows\system32\drivers\TPLinks.sys
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.sys


2007-08-14 10:57:59    修改注冊表內容      操作:阻止
進程路徑:C:\windows\system32\services.exe
注冊表路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TPLinks
注冊表名稱:[Key]
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2007-08-14 10:58:00    創建文件      操作:允許
進程路徑:D:\desktop\virus\桌面\x.exe
文件路徑:C:\windows\AppPatch\msi.dll
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.dll


2007-08-14 10:58:00    創建注冊表值      操作:阻止
進程路徑:D:\desktop\virus\桌面\x.exe
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
注冊表名稱:DL4
注冊表數據:{DADE1910-AA86-4ED0-4B87-2928BA3D4E99}
觸發規則:所有程序規則->自動運行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad*


2007-08-14 10:58:00    修改其它進程內存      操作:阻止
進程路徑:D:\desktop\virus\桌面\x.exe
目標進程:C:\windows\Explorer.EXE
觸發規則:所有程序規則->*


2007-08-14 10:58:01    創建文件      操作:允許
進程路徑:D:\desktop\virus\桌面\x.exe
文件路徑:C:\windows\system32\unxxx.bat
觸發規則:所有程序規則->全局設置_可執行文件1_普通模式->%SystemDrive%\*.bat


2007-08-14 10:58:01    運行應用程序      操作:阻止
進程路徑:D:\desktop\virus\桌面\x.exe
文件路徑:C:\windows\system32\cmd.exe
命令行:/c "C:\windows\system32\unxxx.bat"
觸發規則:所有程序規則->系統程序->%windir%\system32\cmd.exe

1.他會生成
   C:\windows\system32\drivers\KIS.sys
   C:\windows\system32\drivers\KIS.ksm
2.他會加載驅動程序
   驅動名稱:KIS.sys
3.他會生成
   C:\windows\system32\drivers\TPLinks.sys
4.他會修改注冊表內容
   注冊表路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TPLinks
   注冊表名稱:[Key]
5.他會生成
   C:\windows\AppPatch\msi.dll
6.他會創建注冊表值
   注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   注冊表名稱:DL4
   注冊表數據:{DADE1910-AA86-4ED0-4B87-2928BA3D4E99}
7.他會修改其它進程內存
   目標進程:C:\windows\Explorer.EXE
8.他會生成
   C:\windows\system32\unxxx.bat
9.他會運行C:\windows\system32\cmd.exe
   命令行:/c "C:\windows\system32\unxxx.bat"

unxxx.bat的結構

:pp
del "D:\desktop\virus\ୱ\x.exe"
if exist "D:\desktop\virus\ୱ\x.exe" goto pp
del "C:\windows\system32\unxxx.bat"

yashoo