新手请教？过卡巴两个 微点主动防御拦截？是否误报？

I服了YOU

http://virscan.org/report/993b11d88242f11ad5a8a799996a955c.html

http://virscan.org/report/72ff201ce073b7575bc84fd128a9ef32.html

卡巴没报，微点主动防御拦截是否误报？
请高手分析！









样本地址：

http://www.brsbox.com/filebox/uploadcomplete/randstr/HRE65f26895t5x147R4ZE38322/fgid/a9aed429565486b8da290e0b5b942915/dirids/

悠柚

在 D:\TDDownload\病毒样本\Srv.exe 中发现 TrojanDownloader.Delf.oin 病毒, 已删除

dreams521

miss 1,to mpav

xyao

瑞星

2009-7-26 10:57:13    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
命令行: "C:\Documents and Settings\Administrator\My Documents\病毒样本\Server\Server.exe"
规则: [应用程序]*

2009-7-26 10:57:16    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
目标: C:\WINDOWS\system32\System64.exe
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:17    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
目标: C:\WINDOWS\system32\System64.exe
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:18    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
目标: C:\WINDOWS\system32\System64.exe
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:20    创建注册表项    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7890g421-b1gf-14d0-89bb-0090ce808e85}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2009-7-26 10:57:21    创建注册表项    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7890g421-b1gf-14d0-89bb-0090ce808e85}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2009-7-26 10:57:25    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
目标: C:\WINDOWS\system32\KMe.bat
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:37    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\my documents\病毒样本\srv\srv.exe
命令行: "C:\Documents and Settings\Administrator\My Documents\病毒样本\Srv\Srv.exe"
规则: [应用程序]*






2009-7-26 10:57:43    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\srv\srv.exe
目标: C:\WINDOWS\system32\SafeTest.exe
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:45    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\srv\srv.exe
目标: C:\WINDOWS\system32\SafeTest.exe
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:46    创建文件    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\srv\srv.exe
目标: C:\WINDOWS\system32\SafeTest.exe
规则: [文件组]特殊目录 -> [文件]c:\windows\system32

2009-7-26 10:57:47    修改注册表值    阻止
进程: c:\documents and settings\administrator\my documents\病毒样本\srv\srv.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeTest
值: C:\WINDOWS\system32\SafeTest.exe /Self
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

I服了YOU

原帖由 xyao 于 2009-7-26 11:01 发表
瑞星589079

2009-7-26 10:57:13    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\my documents\病毒样本\server\server.exe
命令行: "C:\Documents and  ...

我晕 ，瑞星这个不是给一般人看的。。。 太复杂了！

xyao

原帖由 I服了YOU 于 2009-7-26 11:02 发表


我晕 ，瑞星这个不是给一般人看的。。。 太复杂了！

误会了，下面的是MD的拦截日志

I服了YOU

原帖由 xyao 于 2009-7-26 11:05 发表


误会了，下面的是MD的拦截日志

HIPS？ 不是一般人用的，有点难度！
原来用过一段时间的HIPS就是提示太多，不是很智能。。

xyao

原帖由 I服了YOU 于 2009-7-26 11:07 发表


HIPS？

恩，Malware Defender

小难民

2009-7-26 11:14:10        检测到威胁: HEUR:Trojan.Win32.Generic        E:\Downloads\病毒样本\Srv.rar/Srv.exe/PE_Patch.PECompact/PecBundle/PECompact

Elcondorposa

Server.exe   TR/Delf.ofa [trojan]
Srv.exe   TR/Dldr.Delphi.Gen [trojan]