穿破 GDATA 和 AVG的主防，備份

显示全部楼层 · 发表于 2013-1-28 16:50:41

消停发表于 2013-1-28 16:48
没有新增加的启动项！

只要看到 explorer.exe 執行的 svchost.exe進程，就代表 explorer.exe 被病毒成功注入。

显示全部楼层 · 发表于 2013-1-28 16:51:34

毛豆杀

显示全部楼层 · 发表于 2013-1-28 16:52:22

a256886572008 发表于 2013-1-28 16:50
只要看到 explorer.exe 執行的 svchost.exe進程，就代表 explorer.exe 被病毒成功注入。

这是毫无疑问的！每隔一会而屏幕就闪一下已经证明了诺顿的无能！不过这个样本开机启动怎么看不到呢？还是隐藏在了explorer之下！

显示全部楼层 · 发表于 2013-1-28 16:54:42

消停发表于 2013-1-28 16:52
这是毫无疑问的！每隔一会而屏幕就闪一下已经证明了诺顿的无能！不过这个样本开机启动怎么看不到呢？还是 ...

我這邊是，那個啟動項，svchost.exe自己一結束就馬上消失。

換句話說，他會自己清理。

显示全部楼层 · 发表于 2013-1-28 16:54:45

消停发表于 2013-1-28 16:48
没有新增加的启动项！

嘴说的谁信你

显示全部楼层 · 发表于 2013-1-28 16:57:22

本帖最后由消停于 2013-1-28 17:00 编辑

a256886572008 发表于 2013-1-28 16:54
我這邊是，那個啟動項，svchost.exe自己一結束就馬上消失。

換句話說，他會自己清理。

我这里svchost也确实自己结束了，屏幕闪的一下就是！但确实没抓到新的启动项！

360安全卫士发现了启动项，360amigo居然失手了！

类型:高危程序-HEUR/Malware.QVM08.Gen
描述:此类程序危险性较高，会影响系统的正常运行。
扫描引擎:云安全引擎
文件路径: C:\Documents and Settings\Administrator\Application Data\skype.dat
文件大小: 96K (98,304 字节)
文件版本:
文件描述:
MD5: bf13927499dde3b048e88784792e2127
组别:
注册表路径: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称: Shell
注册表值: C:\Documents and Settings\Administrator\Application Data\skype.dat

显示全部楼层 · 发表于 2013-1-28 17:26:21

本帖最后由 wjcharles 于 2013-1-28 17:27 编辑

消停发表于 2013-1-28 16:57
我这里svchost也确实自己结束了，屏幕闪的一下就是！但确实没抓到新的启动项！

360安全卫士发现了启 ...

我这NIS2013也被过了，win7 x64 vmware，32位的svchost被启动，双击后鼠标卡了一下，但一直没有白屏。。。

显示全部楼层 · 发表于 2013-1-28 17:29:05

wjcharles 发表于 2013-1-28 17:26
我这NIS2013也被过了，win7 x64 vmware，32位的svchost被启动，双击后鼠标卡了一下，但一直没有白屏。。 ...

你做好Fan{过}{滤}Qiang的梯子连上看看

显示全部楼层 · 发表于 2013-1-28 17:35:41

本帖最后由 wjcharles 于 2013-1-28 17:45 编辑

firefox3 发表于 2013-1-28 17:29
你做好Fan{过}{滤}Qiang的梯子连上看看

ok，我再试试

看来是被墙了，现在成功了

显示全部楼层 · 发表于 2013-1-28 17:39:43

wjcharles 发表于 2013-1-28 17:35
ok，我再试试

要是联网下载不到的话才不会锁屏？我也只是猜测

[病毒样本] 穿破 GDATA 和 AVG的主防，備份

本帖子中包含更多资源

本帖子中包含更多资源