过所有杀软的一款恶意软件，也可能是木马（如灰鸽子）

Hacker29cn

我当时装的是SEP，没有报，但是现在卡巴报毒了：

username

patch.exe才是毒

实机 autok

2010-1-9 19:25:06    创建文件    允许
进程: d:\emule\2010010631\patch.exe
目标: C:\Documents and Settings\Administrator\Application Data\dxsetup.exe
规则: [文件组][A]所有执行文件_ -> [文件]*; *.exe

2010-1-9 19:25:06    修改注册表值    阻止并结束进程
进程: d:\emule\2010010631\patch.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
值: C:\DOCUME~1\ADMINI~1\APPLIC~1\dxsetup.exe
规则: [注册表组]自动击杀用 -> [注册表]*\Software\Microsoft\window*\Currentversion\Windows; load

虚拟机

winxp0286

可怜的NOD..

C:\Documents and Settings\Administrator\桌面\2010010631.rar > RAR > patch.exe - 正常
C:\Documents and Settings\Administrator\桌面\2010010631.rar:Zone.Identifier - 正常

wufeixiang

微点主动防御就不用试了，我试了下微点杀毒

username

杀除方法

删除
C:\Documents and Settings\Administrator\Application Data\dxsetup.exe （查找dxsetup.exe删也可）
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

修改 （去掉http://www.054.cc
HKEY_CLASSES_ROOT\CLSID\{2BE11047-844A-45c8-BE9C-1740193DC628}\shell\OpenHomePage\Command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command （要先改权限
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D} (改为0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D} (改为0)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page （要先改权限
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk （查找*Internet Explorer*lnk也可 （去掉只读


——————
但这是个下载者＝ ＝
so 全测出来很麻烦
算

——————
假ie是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{2BE11047-844A-45c8-BE9C-1740193DC628}

wliao

微点

jason_jiang

patch.exe to microsoft

iori15x

你的样本不完整，有的能出现有的出现不了！！

saskecn

to eset all

Hacker29cn

感谢大家，特别是username 老师，竟然实机测试了一把，还提供了手动杀除的方法