【原创】过所有杀毒 hips 还原驱动防火墙

显示全部楼层 · 发表于 2013-1-29 20:09:08

519874810 发表于 2013-1-29 13:49
你又没有把费尔和MD算在内下来后费尔秒。。。。。。这个截图嘛让人家截吧

现在能拦截的多了，对了，你还没转？我的费尔为什么双击无反应啊

显示全部楼层 · 发表于 2013-1-29 20:12:52

对win8 x64无效

显示全部楼层 · 发表于 2013-1-29 20:14:52

本帖最后由 519874810 于 2013-1-29 20:19 编辑

windows7爱好者发表于 2013-1-29 20:09
现在能拦截的多了，对了，你还没转？我的费尔为什么双击无反应啊

好吧知道了你没有魅力值是怎么转的

显示全部楼层 · 发表于 2013-1-29 20:25:12

过微点过金山，

显示全部楼层 · 发表于 2013-1-29 22:14:29

本帖最后由 mmppp9898 于 2013-1-29 23:46 编辑

360杀毒已入库，无论是360杀毒的监控还是360的卫士都能拦截并干掉该病毒！
但测试中，该程序第一步创建进程，第二步就结束其他进程，如果360报拦截了，而用户点暂不处理的话，发现360的主防木马防火墙就无法点开了……但可以肯定的是步步皆在MD掌握中，MD弄死它易如反掌！

2013-1-28 01:14:50 创建新进程允许
进程: c:\windows\explorer.exe
目标: d:\测试\killhips\killhips.exe
命令行: "D:\测试\killhips\killhips.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]『询问』病毒测试 -> [应用程序]*\测试\*

2013-1-28 01:14:59 修改文件 (2) 允许
进程: d:\测试\killhips\killhips.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2013-1-28 01:15:00 修改注册表值允许
进程: d:\测试\killhips\killhips.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b58555c3-5ab0-11e2-a1e6-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2013-1-28 01:15:03 修改注册表值允许
进程: d:\测试\killhips\killhips.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b58555c4-5ab0-11e2-a1e6-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2013-1-28 01:15:04 修改注册表值允许
进程: d:\测试\killhips\killhips.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eb4b01c2-5a6e-11e2-927c-806d6172696f}\BaseClass
值: Drive
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2013-1-28 01:15:05 创建文件允许
进程: d:\测试\killhips\killhips.exe
目标: C:\22222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222321.sys
规则: [应用程序组]『询问』病毒测试 -> [文件组]保护根目录

2013-1-28 01:15:06 修改文件允许
进程: d:\测试\killhips\killhips.exe
目标: \Device\NamedPipe\svcctl
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2013-1-28 01:15:08 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Filesysx
规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]驱动服务 -> [注册表]*\System\*Controlset*\Services

2013-1-28 01:15:09 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Filesysx\ImagePath
值: \??\C:\22222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222321.
规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]驱动服务 -> [注册表]*\System\*Controlset*\Services\*; imagepath
2013-1-28 01:15:17 c:\windows\system32\services.exe 加载驱动程序 c:\22222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222222321.sys 阻止 [应用程序]c:\windows\system32\services.exe

显示全部楼层 · 发表于 2013-1-29 22:19:09

一解压ESS 6.0就秒删了

显示全部楼层 · 发表于 2013-1-30 13:24:52

519874810 发表于 2013-1-29 20:14
好吧知道了你没有魅力值是怎么转的

哥......是帮别人回答问题，只要被版主加分3次或以上，就可以转正啦

显示全部楼层 · 发表于 2013-1-30 13:51:28

windows7爱好者发表于 2013-1-30 13:24
哥......是帮别人回答问题，只要被版主加分3次或以上，就可以转正啦

是我回答的太烂了吗

显示全部楼层 · 发表于 2013-1-30 13:52:33

519874810 发表于 2013-1-30 13:51
是我回答的太烂了吗

到疑难解答区，坚守一下午

保证至少被加分3次
这是我申请时的帖子，你看看格式吧http://bbs.kafan.cn/thread-1458976-1-1.html

显示全部楼层 · 发表于 2013-1-30 13:54:43

红伞kill

[病毒样本] 【原创】过所有杀毒 hips 还原驱动防火墙

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 【原创】过所有 杀毒 hips 还原 驱动防火墙

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 【原创】过所有杀毒 hips 还原驱动防火墙