KAV不认识

IllusionWing

测下HIPS吧。貌似微点可以搞定。。具体行为不明，在创建autorun后就疯狂的改文件。。不知干啥...

UGuard AutoProtect R3Defender v1.9.0 - 开始防护在2008年1月25日12时25分9秒
级别：3，ww.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\桌面\Virus\YB\ww.exe 。 - 允许
级别：6，ww.exe 试图 打开受保护的文件 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr 。 - 允许
级别：9，ww.exe 试图 打开受保护的文件 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\EThread.fne 。 - 允许
级别：21，ww.exe 试图 更改系统时间 。 - 允许
级别：24，ww.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\桌面\Virus\YB\ww.exe 。 - 允许
级别：27，ww.exe 试图 打开受保护的文件 C:\autorun.inf 。 - 允许
级别：30，ww.exe 试图 打开受保护的文件 C:\IceSword.exe 。 - 允许
级别：33，ww.exe 试图 打开受保护的文件 D:\autorun.inf 。 - 允许
级别：36，ww.exe 试图 打开受保护的文件 D:\ntldr 。 - 允许
级别：39，ww.exe 试图 打开受保护的文件 E:\autorun.inf 。 - 允许
级别：42，ww.exe 试图 打开受保护的文件 E:\ntldr 。 - 允许
级别：45，ww.exe 试图 打开受保护的文件 F:\autorun.inf 。 - 允许
级别：48，ww.exe 试图 打开受保护的文件 F:\ntldr 。 - 允许
级别：51，ww.exe 试图 打开受保护的文件 G:\autorun.inf 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：51。
级别：54，ww.exe 试图 打开受保护的文件 H:\autorun.inf 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：54。
级别：57，ww.exe 试图 打开受保护的文件 I:\autorun.inf 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：57。
级别：60，ww.exe 试图 打开受保护的文件 C:\WINDOWS\system32\_SYSTEM 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：60。
级别：63，ww.exe 试图 打开受保护的文件 C:\WINDOWS\system32\dllcache\Regedit.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：63。
级别：66，ww.exe 试图 打开受保护的文件 C:\WINDOWS\Regedit.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：66。
级别：69，ww.exe 试图 打开受保护的文件 C:\WINDOWS\system32\dllcache\cmd.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：69。
级别：72，ww.exe 试图 打开受保护的文件 C:\WINDOWS\System32\cmd.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：72。
级别：75，ww.exe 试图 打开受保护的文件 C:\WINDOWS\system32\dllcache\ntsd.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：75。
级别：78，ww.exe 试图 打开受保护的文件 C:\WINDOWS\System32\ntsd.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：78。
级别：83，ww.exe 试图 打开受保护的进程 avp.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：83。
级别：87，ww.exe 试图 终止受保护的进程 avp.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：87。
级别：93，ww.exe 试图 打开受保护的进程 avp.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：93。
级别：97，ww.exe 试图 终止受保护的进程 avp.exe 。 - 允许
信息：在 ww.exe 发现 可能的 Generic.Invader，级别：97。
级别：110，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：110。
级别：122，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：122。
级别：125，ww.exe 试图 打开受保护的文件 C:\TMP 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：125。
级别：128，ww.exe 试图 打开受保护的文件 G:\ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：128。
级别：131，ww.exe 试图 打开受保护的文件 H:\ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：131。
级别：134，ww.exe 试图 打开受保护的文件 I:\ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：134。
级别：137，ww.exe 试图 删除受保护的文件 C:\TMP 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：137。
级别：140，ww.exe 试图 打开受保护的文件 C:\a.bin 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：140。
级别：143，ww.exe 试图 打开受保护的文件 C:\a.bin 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：143。
级别：146，ww.exe 试图 打开受保护的文件 C:\a.bin 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：146。
级别：149，ww.exe 试图 打开受保护的文件 C:\AUTOEXEC.BAT 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：149。
级别：161，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：161。
级别：164，ww.exe 试图 打开受保护的文件 C:\AUTOEXEC.BAT 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：164。
级别：167，ww.exe 试图 打开受保护的文件 C:\AUTOEXEC.BAT 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：167。
级别：179，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：179。
级别：182，ww.exe 试图 打开受保护的文件 C:\autorun.inf 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：182。
级别：185，ww.exe 试图 打开受保护的文件 C:\autorun.inf 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：185。
级别：188，ww.exe 试图 打开受保护的文件 C:\autorun.inf 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：188。
级别：200，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：200。
级别：203，ww.exe 试图 打开受保护的文件 C:\boot.ini 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：203。
级别：206，ww.exe 试图 打开受保护的文件 C:\boot.ini 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：206。
级别：209，ww.exe 试图 打开受保护的文件 C:\boot.ini 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：209。
级别：212，ww.exe 试图 打开受保护的文件 C:\bootfont.bin 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：212。
级别：215，ww.exe 试图 打开受保护的文件 C:\bootfont.bin 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：215。
级别：218，ww.exe 试图 打开受保护的文件 C:\bootfont.bin 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：218。
级别：221，ww.exe 试图 打开受保护的文件 C:\CONFIG.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：221。
级别：224，ww.exe 试图 打开受保护的文件 C:\CONFIG.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：224。
级别：236，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：236。
级别：239，ww.exe 试图 打开受保护的文件 C:\CONFIG.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：239。
级别：242，ww.exe 试图 打开受保护的文件 C:\IceSword.exe 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：242。
级别：245，ww.exe 试图 打开受保护的文件 C:\IceSword.exe 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：245。
级别：248，ww.exe 试图 打开受保护的文件 C:\IceSword.exe 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：248。
级别：251，ww.exe 试图 打开受保护的文件 C:\IO.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：251。
级别：254，ww.exe 试图 打开受保护的文件 C:\IO.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：254。
级别：257，ww.exe 试图 打开受保护的文件 C:\IO.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：257。
级别：260，ww.exe 试图 打开受保护的文件 C:\mISKDLKASD 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：260。
级别：272，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：272。
级别：275，ww.exe 试图 打开受保护的文件 C:\mISKDLKASD 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：275。
级别：278，ww.exe 试图 打开受保护的文件 C:\mISKDLKASD 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：278。
级别：281，ww.exe 试图 打开受保护的文件 C:\MSDOS.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：281。
级别：284，ww.exe 试图 打开受保护的文件 C:\MSDOS.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：284。
级别：287，ww.exe 试图 打开受保护的文件 C:\MSDOS.SYS 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：287。
级别：290，ww.exe 试图 打开受保护的文件 C:\NTDETECT.COM 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：290。
级别：293，ww.exe 试图 打开受保护的文件 C:\NTDETECT.COM 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：293。
级别：296，ww.exe 试图 打开受保护的文件 C:\NTDETECT.COM 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：296。
级别：299，ww.exe 试图 打开受保护的文件 C:\ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：299。
级别：302，ww.exe 试图 打开受保护的文件 C:\ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：302。
级别：314，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：314。
级别：317，ww.exe 试图 打开受保护的文件 C:\ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：317。
级别：320，ww.exe 试图 打开受保护的文件 C:\复件 (2) ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：320。
级别：323，ww.exe 试图 打开受保护的文件 C:\复件 (2) ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：323。
级别：326，ww.exe 试图 打开受保护的文件 C:\复件 (2) ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：326。
级别：329，ww.exe 试图 打开受保护的文件 C:\复件 ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：329。
级别：332，ww.exe 试图 打开受保护的文件 C:\复件 ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：332。
级别：335，ww.exe 试图 打开受保护的文件 C:\复件 ntldr 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：335。
级别：338，ww.exe 试图 打开受保护的文件 C:\Config.Msi\2e634.rbs 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：338。
级别：341，ww.exe 试图 打开受保护的文件 C:\Config.Msi\2e634.rbs 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：341。
级别：353，ww.exe 试图 更改系统时间 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：353。
级别：356，ww.exe 试图 打开受保护的文件 C:\Config.Msi\2e634.rbs 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：356。
级别：359，ww.exe 试图 打开受保护的文件 C:\Documents and Settings\Administrator\IP 。 - 允许
警报！在 ww.exe 发现 Generic.Invader，级别：359。
级别：362，ww.exe 试图 打.....
以下省去200KB..

VIRSCAN的报告在这里
http://www.virscan.org/report/c491ce309c5ebe7ba5a3d92048ebdfce.html
25%的杀软(9/36)报告发现病毒

Nblock

不错的样本啊 微点拦截处理不完善  上报

[ 本帖最后由 Nblock 于 2008-1-25 12:49 编辑 ]

冷冷

                                                                                 
I:\virus\test\ww.exe - Signature 'Trojan.Win32.Agent.ala' found                   ww.exe I:\virus\test Trojan.MulDrop.8685

        1 File scanned
          (0 Archives with 0 files)
        1 Signature found
        0 Suspect code-parts found
        Used time: 0:00.016
-------------------------------------------------------------------------------

I:\virus\test/ww.exe: Trojan.Dropper-2514 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 195730
Engine version: 0.92
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.13 MB
Time: 6.515 sec (0 m 6 s)

【这是一款 关闭多种杀软的病毒】





衍生物：

-------------------------------------------------------------------------------
I:\VS\VIRUS\drive/C/autoexec.bat: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/BCD: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/cs-CZ/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/da-DK/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/de-DE/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/el-GR/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/en-US/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/es-ES/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/fi-FI/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/Fonts/chs_boot.ttf: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/Fonts/cht_boot.ttf: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/Fonts/jpn_boot.ttf: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/Fonts/kor_boot.ttf: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/Fonts/wgl4_boot.ttf: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/fr-FR/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/hu-HU/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/it-IT/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/ja-JP/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/ko-KR/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/memtest.exe: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/nb-NO/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/nl-NL/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/pl-PL/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/pt-BR/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/pt-PT/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/ru-RU/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/sv-SE/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/tr-TR/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/zh-CN/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/zh-CN/memtest.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/zh-HK/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Boot/zh-TW/bootmgr.exe.mui: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/cmd.txt: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/config.sys: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/Dell_Badge.bmp: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/Dell_bar.png: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/Dell_logo.png: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/docs/Eddy.ini: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/docs/search.class: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/docs/srchword.class: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/MCE_logo.png: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/DELL/QFEs.txt: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/dw_uninstall.log: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/IO.SYS: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/MSDOS.SYS: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/ppsds.pgf: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/Program: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/C/response.txt: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/D/WINDOWS/Regedit.exe: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/D/WINDOWS/system32/cmd.exe: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/D/WINDOWS/system32/dllcache/cmd.exe: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/D/WINDOWS/system32/dllcache/ntsd.exe: Trojan.Dropper-2514 FOUND                            →→ 这病毒太恶了！
I:\VS\VIRUS\drive/D/WINDOWS/system32/dllcache/Regedit.exe: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/D/WINDOWS/system32/ntsd.exe: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/D/WINDOWS/system32/_SYSTEM: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/F/ntldr: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/G/ntldr: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/H/ntldr: Trojan.Dropper-2514 FOUND
I:\VS\VIRUS\drive/I/ntldr: Trojan.Dropper-2514 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 195730
Engine version: 0.92
Scanned directories: 41
Scanned files: 62
Infected files: 59
Data scanned: 9.09 MB
Time: 7.546 sec (0 m 7 s)

[ 本帖最后由 冷_冷 于 2008-1-25 13:13 编辑 ]

鱼是一只我

江民  过~~~~

IllusionWing

那个KavSvc貌似不是卡巴，而是另外什么的....上次在哪儿见过
另外PS 2楼的...这个病毒貌似会删掉REGEDIT.exe(注册表编辑器)
NTSD.exe(系统调式工具)和 cmd.exe(命令提示符)。。可惜微点不能回滚........ 拿盘来修复了.....

SharedAccess 是Windows Firewall
srservice 是系统还原

[ 本帖最后由 gankeyu 于 2008-1-25 12:57 编辑 ]

冷冷

谢谢  答疑！！  更正：kavsvc.exe是卡巴斯基antivirus服务
注册表没有给删除，而是给感染了，运行注册表=运行病毒！



请问你的杀软是你自己自主研制的吗？

[ 本帖最后由 冷_冷 于 2008-1-25 13:15 编辑 ]

hj5abc

AVAST

1.0.8

080125-0

2008-01-25

Win32:Delf-GBF [Trj]

很好,avast! kill it ..

IllusionWing

诶，不过不稳定，经常病毒还没执行完就挂了

zwl2828

文件名称 :   ww.exe
文件大小 :   62.3kb
文件类型 :   MS-DOS executable (EXE), OS/2 or MS Windows
MD5: 41B77A71EC7FA9FB95123643F35C7AFB

Microsoft Visual C++ 6.0

节选部分字符串：

0000B535   0040C135      0   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SfcDisable
0000B576   0040C176      0   SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun
0000B5E5   0040C1E5      0   autorun.inf
0000B5F1   0040C1F1      0   windir
0000B5F8   0040C1F8      0   \system32\_SYSTEM
0000B60A   0040C20A      0   \Regedit.exe
0000B617   0040C217      0   \System32\cmd.exe
0000B629   0040C229      0   \System32\ntsd.exe
0000B63C   0040C23C      0   MPMon.exe
0000B646   0040C246      0   MPSvc2.exe
0000B651   0040C251      0   MPSvc1.exe
0000B65C   0040C25C      0   MPSvc.exe
0000B666   0040C266      0   avp.exe
0000B66E   0040C26E      0   avp.com

0000B676   0040C276      0   SysCheck.exe
0000B683   0040C283      0   RfwService.exe
0000B692   0040C292      0   RfwMain.exe
0000B69E   0040C29E      0   RavMonD.exe
0000B6AA   0040C2AA      0   RavMon.exe
0000B6B5   0040C2B5      0   CCenter.exe
0000B6C1   0040C2C1      0   Rav.exe
0000B6C9   0040C2C9      0   360safe.exe
0000B6D5   0040C2D5      0   fixtool.exe
0000B6EE   0040C2EE      0   \System32\net.exe stop srservice
0000B70F   0040C30F      0   \System32\sc.exe config srservice start=disabled
0000B740   0040C340      0   \System32\net.exe stop KVWSC
0000B75D   0040C35D      0   \System32\sc.exe config KVWSC start=disabled
0000B78A   0040C38A      0   \System32\net.exe stop SharedAccess
0000B7AE   0040C3AE      0   \System32\sc.exe config SharedAccess start=disabled
0000B7E2   0040C3E2      0   \System32\net.exe stop KVSrvXP
0000B801   0040C401      0   \System32\sc.exe config KVSrvXP start=disabled
0000B830   0040C430      0   \System32\net.exe stop KavSvc
0000B84E   0040C44E      0   \System32\sc.exe config KavSvc start=disabled
0000B87C   0040C47C      0   \System32\net.exe stop RsRavMon
0000B89C   0040C49C      0   \System32\sc.exe config RsRavMon start=disabled
0000B8CC   0040C4CC      0   \System32\net.exe stop RsCCenter
0000B8ED   0040C4ED      0   \System32\sc.exe config RsCCenter start=disabled
0000B91E   0040C51E      0   \System32\sc.exe config AVP start=disabled
0000B949   0040C549      0   \System32\sc.exe config RfwService start=disabled
0000B97F   0040C57F      0   ntldr
0000B985   0040C585      0   shellexcute
0000B991   0040C591      0   AutoRun
0000B999   0040C599      0   IceSword.exe
0000B9A6   0040C5A6      0   Microsoft\Infested\
0000B9BA   0040C5BA      0   \system32\dllcache\
0000B9DE   0040C5DE      0   \Debugger
0000B9E8   0040C5E8      0   SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
0000BA33   0040C633      0   :\IceSword.exe
0000BA42   0040C642      0   :\ntldr
0000BA4A   0040C64A      0   :\TMP

感染U盘、映像劫持、关闭杀软、禁止安全软件

IllusionWing

这是用E写的，用od忒麻烦了.,...用ece..