病毒测试组的来帮帮忙，看看这个毒是怎样过了这个规则的？

yjwfdc1

我用的是eq4.0，运行一个病毒，主要栏截ad rd,

fd只拦几个系统文件，其它记录目志。

祥细在

用了两天，找不出规则被穿的原因.
http://bbs.kafan.cn/viewthread.php?tid=222031&extra=page%3D1

[ 本帖最后由 yjwfdc1 于 2008-3-22 13:54 编辑 ]

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Trojan.DL.Win32.Mnless.zan
病毒： Trojan.DL.Win32.Direct.me

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.36.50

qigang

其他站分析：http://bbs.hypost.cn/read.php?tid-232757-fpage-2.html

yjwfdc1

原帖由 qigang 于 2008-3-22 16:13 发表
其他站分析：http://bbs.hypost.cn/read.php?tid-232757-fpage-2.html

没有邀请码，注册不了，看不到。

帮忙转过来，好吗？

或者给我邀请码就更好了。

qigang

原帖由 yjwfdc1 于 2008-3-22 17:45 发表


没有邀请码，注册不了，看不到。

帮忙转过来，好吗？

或者给我邀请码就更好了。

对方论坛不是DZ，复制转帖会出现乱码！晕死！

yjwfdc1

查看-源文件，另存为。htm文件，传上来好吗？

雨宫优子

对方是不是开了干扰码？
我这里有去除干扰码工具:
http://www.xuanwobbs.com.cn/zhuantie.php

冷冷

我帮不了你
我的虚拟机还没好

qigang

浅析AtiSrv.rar
由于最近上班很累 所以在上个帖子中答应LZ的事没有做到 特此道歉 今天早起 写个分析
双击后的日志：
2008-03-14 05:21:08    应用程序保护(运行应用程序)    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\ntvdm.exe
文件路径:C:\WINDOWS\system32\conime.exe  
2008-03-14 05:21:05    应用程序保护(运行应用程序)    操作:允许(自动创建规则)
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\WINDOWS\system32\ntvdm.exe
命令行:-f -i1 -o
2008-03-14 05:17:09    文件保护已经开启

2008-03-14 05:17:09    注册表保护已经开启. .

2008-03-14 05:17:09    应用程序保护已经开启.

看来只产生了一个文件 ：C:\WINDOWS\system32\ntvdm.exe
有兴趣的可下ntvdm.rar看下
进入对应目录看下，找到文件双击下，没任何反应
PS：2.28病毒库的微点也没动静。。。
平静是暴风雨来临的前兆。估计不是什么好事 拿sreng看下到底机器中多了什么

system32\DRIVERS\mrxsmb.sys
system32\DRIVERS\rdbss.sys 
system32\DRIVERS\srv.sys
多了3个驱动级的文件 没有添加注册表 纳闷。。。
执行删除后会发现 这几个文件都跑到临时文件夹去了。。
后面的操作就简单了 干掉临时文件 清理下ie缓存
基本结束 没发现太多危害 在开始的启动里也没看到AtiSrv..exe
简单分析到此结束  欢迎高人补充

yjwfdc1

多谢楼上，
不过我那个不是这样的，我那个注册表修改就有几百个位置，我那贴发了日志，有500多k.

[ 本帖最后由 yjwfdc1 于 2008-3-22 23:29 编辑 ]