VT Detection ratio: 4 / 48 EjJT8GS.exe 破坏安全中心 锁屏之后添加启动项

电影结束了

墨家小子 发表于 2013-10-7 12:16
你是什么系统？

加里一个WIN7  一个WIN8都没光驱。。。只有笔记本有。。。
我习惯进PE

墨家小子

电影结束了 发表于 2013-10-7 12:18
加里一个WIN7  一个WIN8都没光驱。。。只有笔记本有。。。
我习惯进PE

是不是64位的？要是64位的可以安装到硬盘上，开机直接进入DaRT

电影结束了

墨家小子 发表于 2013-10-7 12:32
是不是64位的？要是64位的可以安装到硬盘上，开机直接进入DaRT

不是。。。32位。。。
看起来没希望。。。求老火开发

墨家小子

电影结束了 发表于 2013-10-7 12:35
不是。。。32位。。。
看起来没希望。。。求老火开发

你弄进U盘里还不行？

电影结束了

墨家小子 发表于 2013-10-7 12:40
你弄进U盘里还不行？

没弄过。。。
我觉得可以尝试下
不过U盘里有个PE。。。

墨家小子

电影结束了 发表于 2013-10-7 12:45
没弄过。。。
我觉得可以尝试下
不过U盘里有个PE。。。

很简单

hddu

2013-10-07 12:47:42    运行应用程序      操作:允许
进程路径:F:\virus\EjJT8GS\EjJT8GS.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe


2013-10-07 12:47:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:qcgce2mrvjq91kk1e7pnbb19m52fx
触发规则:应用程序规则->系统程序(一)->%windir%\system32\svchost.exe->*\Run*


2013-10-07 12:47:52    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Command Processor
注册表名称:AutoRun
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Command Processor*


2013-10-07 12:47:52    创建注册表值      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
触发规则:应用程序规则->WinLogon设置->?:\*->HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

墨家小子

hddu 发表于 2013-10-7 13:07
2013-10-07 12:47:42    运行应用程序      操作:允许
进程路径:F:\virus\EjJT8GS\EjJT8GS.exe
文件路径: ...

我这里是先锁屏后添加启动项

hddu

2013-10-07 12:50:01    运行应用程序      操作:允许
进程路径:F:\virus\EjJT8GS\EjJT8GS.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe


2013-10-07 12:50:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:qcgce2mrvjq91kk1e7pnbb19m52fx
触发规则:应用程序规则->系统程序(一)->%windir%\system32\svchost.exe->*\Run*


2013-10-07 12:50:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Command Processor
注册表名称:AutoRun
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Command Processor*


2013-10-07 12:50:09    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
触发规则:应用程序规则->WinLogon设置->?:\*->HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon


2013-10-07 12:50:09    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\virus\EjJT8GS\EjJT8GS.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2013-10-07 12:50:09    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InProcServer32
注册表名称:[Default]
触发规则:所有程序规则->CLSID项设置->*\CLSID\*


2013-10-07 12:50:10    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\2433f433
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\Documents and Settings\*


2013-10-07 12:50:10    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\All Users\Application Data\2433f433
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\Documents and Settings\*


2013-10-07 12:50:11    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Templates\2433f433
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\Documents and Settings\*


2013-10-07 12:50:12    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\2433f433
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\Documents and Settings\*


2013-10-07 12:50:24    结束/挂起进程      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\Explorer.EXE


2013-10-07 12:50:26    修改文件      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->*\Internet Explorer\MSIMGSIZ.DAT

hddu

衍生物2433f433不能直接删除，要用其他工具处理。否则，立刻锁屏。

2013-10-07 12:54:47    加载库文件      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\virus\EjJT8GS\EjJT8GS.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->*\*.dll

2013-10-07 12:54:48    运行应用程序      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:应用程序规则->系统程序->%windir%\Explorer.EXE->%windir%\System32\svchost.exe


2013-10-07 12:54:51    结束/挂起进程      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\Explorer.EXE

2013-10-07 12:54:52    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->*\Internet Explorer\MSIMGSIZ.DAT


2013-10-07 12:55:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\SYSTEM32\TASKMGR.EXE
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\winlogon.exe->%windir%\system32\*.exe


2013-10-07 12:55:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\SYSTEM32\TASKMGR.EXE
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\winlogon.exe->%windir%\system32\*.exe


2013-10-07 12:55:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\SYSTEM32\TASKMGR.EXE
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\winlogon.exe->%windir%\system32\*.exe


2013-10-07 12:55:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\SYSTEM32\TASKMGR.EXE
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\winlogon.exe->%windir%\system32\*.exe


2013-10-07 12:55:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\SYSTEM32\TASKMGR.EXE
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\winlogon.exe->%windir%\system32\*.exe


2013-10-07 12:55:11    结束/挂起进程      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
目标进程:C:\WINDOWS\system32\taskmgr.exe
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\system32\taskmgr.exe