来自救援区的感染型样本，欢迎各位前来测试修复能力！！！

显示全部楼层 · 发表于 2013-11-9 14:30:22

hddu 发表于 2013-11-9 12:57
HIPS测试下得到的，不知是不是感染前的文件。

刚才试了一下，发现…………运行之后原有的样本文件就被自动复原了…………囧…………

显示全部楼层 · 发表于 2013-11-9 14:35:23

lh9916 发表于 2013-11-9 14:28
杀完，没有修复，文件夹空。。。

测试了一下，貌似目前修复文件就3种方法：

1.用诺顿或者SEP；
2.用凝逸版主写的专杀；
3.直接运行染毒文件，病毒母体释放之后，文件自动复原…………

显示全部楼层 · 发表于 2013-11-9 14:57:32

此时无声胜有声

显示全部楼层 · 发表于 2013-11-9 15:19:05

zhou0197 发表于 2013-11-9 14:17
原文件确实是这几个，请问如何截获的？？

我用MD拦截了很多衍生物：http://pan.baidu.com/share/link? ...

双击后注意查看原文件，猜疑是注入Explorer.EXE，通过Explorer.EXE感染文件。

显示全部楼层 · 发表于 2013-11-9 15:22:13

hddu 发表于 2013-11-9 15:19
双击后注意查看原文件，猜疑是注入Explorer.EXE，通过Explorer.EXE感染文件。

已经发现这个情况了…………感染方式应该就是你猜测的那样。

显示全部楼层 · 发表于 2013-11-9 15:38:54

zhou0197 发表于 2013-11-9 14:30
刚才试了一下，发现…………运行之后原有的样本文件就被自动复原了…………囧…………

确实出现你所说的情况，不过，运行病毒释放出的未感染文件与感染文件复原感染有近十分钟时间，
我们可以抓紧复制未感染文件移动至新建的文件内，防止再次受感染，测试发现，子文件夹的文件与文件夹
的文件都是同类文件时，只感染文件夹的文件。

显示全部楼层 · 发表于 2013-11-9 15:52:14

2013-11-09 15:22:44 修改文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\virus\感染样本\感染样本\AutoUpDate.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:22:47 修改文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\virus\感染样本\感染样本\AutoUpDate.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:22:51 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Temp
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*

2013-11-09 15:22:51 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\*.exe

2013-11-09 15:22:57 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\*.exe

2013-11-09 15:23:01 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\*.exe

2013-11-09 15:23:05 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\*.exe

2013-11-09 15:23:07 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Documents and Settings\Administrator\Application Data\Temp\Administrator0.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-11-09 15:23:08 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
触发规则:应用程序规则->程序->?:\*

2013-11-09 15:23:09 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\@AE1B.tmp.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Documents and Settings\Administrator\Application Data\Temp\Administrator1.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-11-09 15:23:17 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Identities\Administrator\arc.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:18 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\Addins\att.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\Windows\*

2013-11-09 15:23:18 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\Addins\att.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\Windows\*

2013-11-09 15:23:18 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\Addins\att.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\Windows\*

2013-11-09 15:23:18 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\Addins\att.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\Microsoft\Windows\*

2013-11-09 15:23:19 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Common\Shared\dis.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:21 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:22 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Repairs\sha.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:24 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Caches\Files\usd.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:27 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
触发规则:应用程序规则->Documents and Settings文件夹设置->?:\Documents and Settings\*\Application Data\*.exe->?:\Documents and Settings\*\Application Data\*.exe

2013-11-09 15:23:28 修改文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
触发规则:应用程序规则->Documents and Settings文件夹设置->?:\Documents and Settings\*\Application Data\*.exe->?:\Documents and Settings\*\Application Data\*.exe

2013-11-09 15:23:31 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Messenger\Extension\WdExt.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Documents and Settings\Administrator\Application Data\Temp\Administrator1.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-11-09 15:23:31 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
命令行:/i 3244
触发规则:应用程序规则->程序->?:\*

2013-11-09 15:23:32 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows Defender Extension
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2013-11-09 15:23:32 创建远程线程    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2013-11-09 15:23:32 创建远程线程    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2013-11-09 15:23:32 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Common\Shared\dis.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:33 创建远程线程    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2013-11-09 15:23:33 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Repairs\sha.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:33 创建远程线程    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE

2013-11-09 15:23:33 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Caches\Files\usd.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:23:37 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Defender\launch.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Documents and Settings\Administrator\Application Data\Temp\Administrator0.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-11-09 15:23:38 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wtmps.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2013-11-09 15:23:39 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wtmps.exe
文件路径:C:\WINDOWS\system32\mscaps.exe
触发规则:应用程序规则->TEMP临时文件夹（二）->*\Temp\*->%WinDir%\system32\*

2013-11-09 15:23:39 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wtmps.exe
文件路径:C:\WINDOWS\system32\mscaps.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2013-11-09 15:23:39 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wtmps.exe
文件路径:C:\WINDOWS\system32\mscaps.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2013-11-09 15:23:39 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\wtmps.exe
文件路径:C:\WINDOWS\system32\mscaps.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2013-11-09 15:28:34 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:28:40 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\zwdosqdp.zip
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.zip

2013-11-09 15:28:43 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\tdsskiller\tdsskiller.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:28:46 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\copy\提升文件复制速度是系统默认的3倍winmend file copy 1.3.3 绿色版mt30-84ha-winmend-file-copy-1.3.3-sixfingers\file copyz中文绿色版\common.dll
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.dll

2013-11-09 15:28:46 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:28:51 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\copy\提升文件复制速度是系统默认的3倍winmend file copy 1.3.3 绿色版mt30-84ha-winmend-file-copy-1.3.3-sixfingers\file copyz中文绿色版\drag.dll
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.dll

2013-11-09 15:28:53 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:28:57 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\copy\提升文件复制速度是系统默认的3倍winmend file copy 1.3.3 绿色版mt30-84ha-winmend-file-copy-1.3.3-sixfingers\file copyz中文绿色版\filecopy.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:28:57 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:29:00 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\copy\提升文件复制速度是系统默认的3倍winmend file copy 1.3.3 绿色版mt30-84ha-winmend-file-copy-1.3.3-sixfingers\file copyz中文绿色版\helpus.dll
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.dll

2013-11-09 15:29:07 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:06 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\ghostexp.rar
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.rar

2013-11-09 15:35:10 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\winxpsp2\ghost\ghost.exe
触发规则:高优先规则->特别设置->F:\WinXPSP2\*

2013-11-09 15:35:13 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:15 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\winxpsp2\ghost\system.gho
触发规则:高优先规则->特别设置->F:\WinXPSP2\*

2013-11-09 15:35:16 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\winxpsp2\ghost\xp.gho
触发规则:高优先规则->特别设置->F:\WinXPSP2\*

2013-11-09 15:35:20 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:22 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\winxpsp2\ghost\ghosterr.txt
触发规则:高优先规则->特别设置->F:\WinXPSP2\*

2013-11-09 15:35:25 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:26 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\winxpsp2\ghost\xp000001.ghs
触发规则:高优先规则->特别设置->F:\WinXPSP2\*

2013-11-09 15:35:28 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:32 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\屏幕截图宝\屏幕截图宝.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:35:37 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:43 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\eqsyssecure\eqsecure200812pro.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:35:46 加载库文件    操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Shared\Modules\fil.dll
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->C:\Documents and Settings\*\Application Data\*.dll

2013-11-09 15:35:52 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\documents and settings\administrator\local settings\application data\youdao\dict\application\5.1.36.3166\crashrpt.dll
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.dll

2013-11-09 15:35:55 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\k12rj0000039581\k12rj0000039581.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:36:01 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\documents and settings\administrator\local settings\application data\youdao\dict\application\5.1.36.3166\installdaemon.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:36:04 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\智能卸载.rar
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.rar

2013-11-09 15:36:09 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\documents and settings\administrator\local settings\application data\youdao\dict\application\5.1.36.3166\monitor.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

2013-11-09 15:36:13 修改文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:F:\智能卸载\untools.exe
触发规则:应用程序规则->Explorer设置->%windir%\Explorer.EXE->?:\*.exe

显示全部楼层 · 发表于 2013-11-9 16:02:20

防止再次受感染，利用病毒再次感染文件前的几分钟时间，
快速删除病毒创建的文件，重启或挂起explorer.exe。

显示全部楼层 · 发表于 2013-11-9 16:10:36

驭龙发表于 2013-11-9 14:16
你是让我把安软关闭，然后双击样本，再开启监控吗？现在不行，没时间，在折腾星星，是实机，不敢玩，过几 ...

no，让你用微软修复下

显示全部楼层 · 发表于 2013-11-9 16:12:15

lh9916 发表于 2013-11-9 14:28
杀完，没有修复，文件夹空。。。

没有修复有点可惜

[病毒样本] 来自救援区的感染型样本，欢迎各位前来测试修复能力！！！

本帖子中包含更多资源