红伞啊红伞，这一次让我栽了。

雨宫优子

这家伙

不写注册表

不改我C盘

包括在多引擎上也是如此

微点MISS...

雨宫优子

怪了..

难道是我的组策略发威..

把它给限制住了？

反正他没改我C盘..

准确来说，是改了，只是增加了一个lsass.exe在drivers目录下

其它的啥都没改，而且也没有见到释放驱动、删除组策略文件、添加autorun.inf

更别提改注册表了

只是见他不停的感染我C盘以外的盘...

[ 本帖最后由 aarwwefdds 于 2008-9-9 00:57 编辑 ]

雨宫优子

程序:
C:\DOCUMENTS AND SETTINGS\***.18F12FE200FB45E\桌面\ANTI-VIRUS LAB\RUN VIRUS LAB\HD TUNE\HDTUNE.EXE
被修改文件:
C:\SANDBOX\***DEFAULTBOX\DRIVE\D\YAHOO!\YUPDATER.EXE
是否阻止文件被修改?
==============================================================
程序:
C:\DOCUMENTS AND SETTINGS\***.18F12FE200FB45E\桌面\ANTI-VIRUS LAB\RUN VIRUS LAB\HD TUNE\HDTUNE.EXE
病毒程序生成以下文件:
1) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\AC3\DIALOG_PATCH.EXE
2) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\AC3\UNINSTALL.EXE
3) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\AC3FILTER\UNINS000.EXE
4) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\AC3FILTER\UNINSTALL.EXE
5) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\ARPR\ARPR.EXE
6) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\ARPR\UNINSTALL.EXE
7) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\ASPACK\ASPACK.EXE
8) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\ASPACK\UNINSTAL.EXE
9) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BAOFENG\STORM.EXE
10) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BAOFENG\STORMPLY.EXE
11) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BAOFENG\UNINST.EXE
12) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BINTEXT 3.0\BINTEXT.EXE
13) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BITCOMET\BITCOMET.EXE
14) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BITCOMET\CRASHREPORT.EXE
15) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BITCOMET\TOOLS\COMETBROWSER.EXE
16) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\BENC.EXE
17) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\BLAZEVIDEOMAGIC.EXE
18) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\CJPEG.EXE
19) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\ENCODER.EXE
20) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\FFMPEG.EXE
21) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\FPLAYER.EXE
22) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\INNOASSIST.EXE
23) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\JHEAD.EXE
24) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\MJPEG.EXE
25) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\BLAZE VIDEO MAGIC\MPEG.EXE
26) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\CCLEANER\CCLEANER.EXE
27) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\CCLEANER\UNINST.EXE
28) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\CPU-Z\CPUZ.EXE
29) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\CPU-Z\LATENCY.EXE
30) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\CPU-Z\SOFT2CN．COM汉化说明.EXE
31) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\CPU-Z\UNINST.EXE
32) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DAEMON TOOLS\4.11.1版简体中文语言包.EXE
33) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DAEMON TOOLS\CHKUPD.EXE
34) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DAEMON TOOLS\DAEMON.EXE
35) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DAEMON TOOLS\UNINST.EXE
36) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DAEMON TOOLS2\DAEMON.EXE
37) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DOWNLOADS\KC2007BETA2SETUP.EXE
38) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DOWNLOADS\ORBITDOWNLOADERSETUP.EXE
39) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DOWNLOADS\SETUPOL_3112.EXE
40) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\DOWNLOADS\XVID-1.1.3-28062007.EXE
41) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\EASY2GAME\EASY2GAME.PRO1.6\REGENV.EXE
42) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\EREAD\EREAD6.0\EREAD.EXE
43) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\CHNEXE.EXE
44) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\FASTAIT.EXE
45) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\KCONVERT.EXE
46) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\KINGTRANS.EXE
47) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\KPGMAKER.EXE
48) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\KSSETTING.EXE
49) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\KTENGINE.EXE
50) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\LOADER.EXE
51) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FASTAIT 2007\UNINS000.EXE
52) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FFDSHOW\MAKEAVIS.EXE
53) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FFDSHOW\UNINS000.EXE
54) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FLASHFXP\FLASHFXP\FLASHFXP.EXE
55) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FLASHFXP\FLASHFXP\UNINS000.EXE
56) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FLASHFXP\FLASHFXP\UNINS001.EXE
57) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FLASHFXP\FLASHFXP.EXE
58) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FOXMAIL\FOXHOT.EXE
59) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FOXMAIL\UNINS000.EXE
60) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FRAPS\FRAPS.EXE
61) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FRAPS\UNINS000.EXE
62) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\FREEZ FLV TO MP3 CONVERTER\UNINST.EXE
63) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\HIDE IP PLATINUM\UNINS000.EXE
64) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\ICH-5\INTEL_ICH5_2K\2KXP\INSTALL.EXE
65) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\ICH-5\INTEL_ICH5_2K\2KXP\SETUP.EXE
66) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
67) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\INTERNET DOWNLOAD MANAGER\UNINST.EXE
68) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\INTERNET DOWNLOAD MANAGER\UNINSTALL.EXE
69) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\KC\KC2005.EXE
70) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\KC\KCAUTOUPGRADE.EXE
71) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\KC\UNINST.EXE
72) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\LUYING\MP3CUTTER.EXE
73) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\LUYING\UNINSTAL.EXE
74) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MAXTHON\MAXTHONUINST.EXE
75) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MAXTHON\MODULES\MXUPDATE\MXUP.EXE
76) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MP3 SPLITTER & JOINER PRO\LAME.EXE
77) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MP3 SPLITTER & JOINER PRO\MP3MATEPRO.EXE
78) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MP3 SPLITTER & JOINER PRO\UNINS000.EXE
79) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MP3音频录音机\UNINS000.EXE
80) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\MSCONFIG.EXE
81) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\NEO MULE\EMULE.EXE
82) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\NEO MULE\UNINSTALL.EXE
83) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\NETMAN\NETMAN.EXE
84) C:\SANDBOX\***\DEFAULTBOX\DRIVE\D\NETMAN\UNINST.EXE
是否删除病毒程序及其衍生物?
在把CDEF盘全逛便后
总算报毒了

qkhge5

感染c盘外所有exe文件

xyan

原帖由 aarwwefdds 于 2008-9-9 00:52 发表
怪了..

难道是我的组策略发威..

把它给限制住了？

反正他没改我C盘..

准确来说，是改了，只是增加了一个lsass.exe在drivers目录下

其它的啥都没改，而且也没有见到释放驱动、删除组策略文件、添加aut ...

谢谢你的测试，我没那么多手段，只是在单位其它装有NOD32的机器上扫描了一下，发现有病毒。但愿它不是个特别厉害的病毒，但我不敢在正常机器上试了，我的机器是玩完了，正常模式、安全模式都不能正常显示了，三键调出windows任务管理器，也没发现什么可疑进程。

雨宫优子

事实证明

我的组策略真的发威了..

我的组策略限制了除了正常的lsass.exe以外的所有lsass.exe进程

正是因为lsass.exe没有运行，给病毒留下了极大的生存空间

没有那么快被微点捉住...

[ 本帖最后由 aarwwefdds 于 2008-9-9 01:10 编辑 ]

xyan

那你解除组策略，看看微点能抓住它干哪些坏事。

雨宫优子

晕死..


判断错误..
那个lsass.exe是损坏的..

[ 本帖最后由 aarwwefdds 于 2008-9-9 01:27 编辑 ]

xyan

期待你的进一步测试结果。
我用totalcmd比较过原始好程序和被感染后的程序，发现改变的太多，估计被这病毒感染的可执行文件是无法修复了，只能重装。

雨宫优子

这个是脑残级磁碟机...

开放了lsass.exe运行权限后

只是见他晃一下就不见了...

而且也没有网上说的那些行为