感染型，请双击运行测杀软防御

显示全部楼层 · 发表于 2012-9-8 08:29:25

DPT1 发表于 2012-9-7 18:55
过金山，我这跑不起来，上火眼 http://fireeye.ijinshan.com/analyse.html?md5=f8fdfaa52be492e49c152228b0 ...

入了火眼以后就这么报毒了咩

显示全部楼层 · 发表于 2012-9-8 08:48:26

微点卫士发表于 2012-9-8 08:29
入了火眼以后就这么报毒了咩

火眼和金山的后台联动了！...也就是.火眼=金山毒霸2012云鉴定器。

显示全部楼层 · 发表于 2012-9-10 11:10:17

真小读者发表于 2012-9-7 19:53
测双击的任务就交给你了

额。微点删除了病毒库能暂时不报毒？

显示全部楼层 · 发表于 2012-9-10 12:08:26

宵河发表于 2012-9-10 11:10
额。微点删除了病毒库能暂时不报毒？

微点的防御分为特征码防御和主动防御。特征码防御就是文件生成或程序运行时用特征码扫描一遍，主动防御就是根据行为自主判断病毒。删了病毒库之后，由于微点无法调用特征码，就相当于手动废了特征码防御，所以可以用了测纯主防

显示全部楼层 · 发表于 2012-9-10 12:32:06

诺顿下载不报，手动扫描kill

显示全部楼层 · 发表于 2012-9-10 13:05:26

真小读者发表于 2012-9-10 12:08
微点的防御分为特征码防御和主动防御。特征码防御就是文件生成或程序运行时用特征码扫描一遍，主动防御就 ...

哦。。多谢指教。在问个问题。微点的病毒库是在什么目录？叫啥。。

显示全部楼层 · 发表于 2012-9-10 13:06:18

宵河发表于 2012-9-10 13:05
哦。。多谢指教。在问个问题。微点的病毒库是在什么目录？叫啥。。

微点安装目录下的mp3文件夹

显示全部楼层 · 发表于 2012-9-11 08:58:15

本帖最后由 liulangzhecgr 于 2012-9-11 09:06 编辑

拿这种感染性病毒真是没有办法...

2012-9-11 08:53:06 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\9\9.exe
命令行: "E:\downloads\管理员\9\9.exe"
规则: [应用程序]*

2012-9-11 08:53:09 创建文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\WINDOWS\svchost.com
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:28 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\commonf_inst\TXSSOSetup.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:31 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\BackupDLTmp\Download\MiniQT.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:36 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\BackupDLTmp\Download\P2PSetup.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:39 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\BackupDLTmp\Download\QQPhotoDrawExSetupForQQ.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:40 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\BackupDLTmp\Download\QzoneMusicInstall.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:41 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\BackupDLTmp\Download\VideoMsgInstall.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:42 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\QQPCDetector~0\QQPCDetector.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:53:44 修改文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:12 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\不允许\CLT\clt.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:16 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.backboot.a-鬼影6\新建文件夹\1001.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:18 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影\样本.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:20 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\5063679c.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:22 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\723e7d9f.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:24 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\rundll81.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:27 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\scansock.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:30 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\sockhelp32.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:34 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\基本用户\H网浏览器\cpdizhi.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:38 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\ARKTools\XueTr\XueTr.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:40 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\DELTools\FileTools\FileTools.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:45 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\FixTools\arswp3_x86\arswp3\exts\KChrome.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:48 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\tdsskiller\TDSSKiller.exe
规则: [应用程序]* -> [文件]*

2012-9-11 08:54:57 创建文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5023.tmp
规则: [应用程序]* -> [文件]*

显示全部楼层 · 发表于 2012-9-11 09:05:27

本帖最后由 liulangzhecgr 于 2012-9-11 09:15 编辑

虽然防御了qq文件夹的文件被感染...这种设置下不知能否正常使用qq呢？！

2012-9-11 09:03:08 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\9\9.exe
命令行: "E:\downloads\管理员\9\9.exe"
规则: [应用程序]*

2012-9-11 09:03:09 创建文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\WINDOWS\svchost.com
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:28 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\不允许\CLT\clt.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:29 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.backboot.a-鬼影6\新建文件夹\1001.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:30 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影\样本.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:31 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\5063679c.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:32 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\723e7d9f.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:33 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\rundll81.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:34 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\scansock.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:35 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\受限用户\rootkit.boot.qvod.a-鬼影6\鬼影6-newcheck\yanshengwu\sockhelp32.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:36 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: E:\downloads\基本用户\H网浏览器\cpdizhi.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:39 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\ARKTools\XueTr\XueTr.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:42 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\DELTools\FileTools\FileTools.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:44 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\FixTools\arswp3_x86\arswp3\exts\KChrome.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:47 修改文件阻止
进程: e:\downloads\管理员\9\9.exe
目标: F:\MyTools\tdsskiller\TDSSKiller.exe
规则: [应用程序]* -> [文件]*

2012-9-11 09:03:51 创建文件允许
进程: e:\downloads\管理员\9\9.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5023.tmp
规则: [应用程序]* -> [文件]*

显示全部楼层 · 发表于 2012-9-11 09:17:48

2012-09-11 09:16:47 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\spoolsv.exe
2012-09-11 09:16:42 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\smss.exe
2012-09-11 09:16:39 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\services.exe
2012-09-11 09:16:36 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\msconfig.exe
2012-09-11 09:16:32 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\dllcache\wuauclt.exe
2012-09-11 09:16:29 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\dllcache\spoolsv.exe
2012-09-11 09:16:26 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\dllcache\smss.exe
2012-09-11 09:16:22 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\dllcache\services.exe
2012-09-11 09:16:15 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\system32\dllcache\explorer.exe
2012-09-11 09:16:08 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\WINDOWS\explorer.exe
2012-09-11 09:15:55 文件保护(创建文件)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
文件路径:C:\Sandbox\Administrator\DefaultBox\drive\C\Program Files\Internet Explorer\iexplore.exe
2012-09-11 09:15:34 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\exefile\shell\open\command
注册表名称:[Default]
2012-09-11 09:15:33 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\Documents and Settings\Administrator\桌面\9.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\exefile\shell\open\command
注册表名称:[Default]

[病毒样本] 感染型，请双击运行测杀软防御

本帖子中包含更多资源

本帖子中包含更多资源