救命啊·高手来分析一下这个东西啊。<新增SREng扫描日志>

牧羊老汉

回复  牧羊老汉

想和我继续辩论，最好组织好语言再发，总是刷新后多出来几句话，误人子弟，看起来又语无 ...
change_018 发表于 2010-5-27 01:38

“每台机器的用户名不同，但因为用户名不同，文件的路径就。。。”  ，就多出“但因为用户名不同”这8个字，全文意思没有丝毫改变，我已经说过，我做事情，从来就是敢做敢认，呵呵，你怕什么？

牧羊老汉

再次运行样本看病毒行为，虽然会跳出那个提示错误的弹窗，但实际上是可以运行的，除了修改桌面的快捷方式.lnk文件等，就是修改注册表，结合楼主发帖请求解决的问题和病毒行为，对症状下药而不乱摸，就还是6楼说的HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 中的Desktop的键值这一项。桌面无法显示和无法保存文件的原因有很多，但是楼主桌面其它图标能显示而不是整个被隐藏，就缩小了范围；往桌面保存文件在C:\Documents and Settings\Administrator\桌面 能看到，就排除在组策略中被禁止桌面保存的可能；桌面其它图标的快捷方式正常，就说明被病毒修改了的HKEY_LOCAL_MACHINE\software\Classes\InternetShortcut 也已经修复。剩下的最大可能就是上述这一项，这一项既是能导致你所说问题的几种原因其中之一，又是在运行样本时明确看到被修改的。
请查看你当前登录的用户名，是否和HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Desktop 键值中的用户名一致？保存在C:\Documents and Settings\Administrator\桌面 文件夹中的文件，其它用户是看不到的，只有Administrator可以看到，但文件其实是存在的。也就是说，往桌面保存文件所显示的图标，可以看做也是一个快捷方式，路径指向上述文件夹，你桌面其它快捷方式正常，剩下的，就是相当于路径不对的问题了。(校对Desktop右边键值时，请参考Desktop上下其它key的键值设置，因为我没有看到样本有修改Desktop上下的那些，只修改Desktop的，所以，其它的那些，应该还是原来的设置，故可作为你修改Desktop的参照。）

saga3721

红伞杀，伞兵不用下这么多的附件了

xyq631290

谢谢大家了，因为这个让各位产生了些争执，心理很过意不去。
是注册表的问题，我用了一堆注册表修复软件，桌面图标好像正常了。
貌似搜索功能坏掉了，意外错误，操作无法完成。

牧羊老汉

明摆着就是注册表的问题。这个程序运行后的特征就是修改.lnk快捷方式、修改启动项和注册表。
“而且附件下了3遍，运行后修改了几处注册表就出错？”...一处注册表出问题就可能导致系统出错，何况几处？还不够？忽略之，并如无头苍蝇般乱找些并非此样本所创建的其它什么文件出来分析？

不根据病毒的行为特征和中招后的具体症状相结合去分析问题，而是乱找些毫无关系的东西去分析，还敢笑话别人？真不知道究竟是谁在误人子弟？

XE-cj

2010-5-27 22:12:20    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
命令行: "C:\Documents and Settings\XE-CJ\My Documents\垃圾东西\垃圾东西.exe"
规则: [应用程序]c:\windows\explorer.exe

2010-5-27 22:12:32    创建文件夹    允许
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop
规则: [文件]*

2010-5-27 22:12:37    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\adsl.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:12:39    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\adsl.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:12:46    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\adsl.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:12:52    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\Opera.exe.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:12:56    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\procexp.exe.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:01    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\FastStone Capture_默认配置.exe.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:05    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\MemorySaviour.exe.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:09    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Desktop\DefenseWall.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:15    创建文件夹    允许
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\All Users\Desktop
规则: [文件]*

2010-5-27 22:13:20    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\All Users\Desktop\Mozilla Firefox.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:24    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\All Users\Desktop\Malware Defender.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:28    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\All Users\Desktop\微点主动防御软件.lnk
规则: [文件组]临时目录 -> [文件]*; *.lnk

2010-5-27 22:13:32    创建文件夹    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Application Data\Microsoft\Internet Explorer\Quick Launch1875
规则: [文件]*

2010-5-27 22:13:36    创建文件夹    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Application Data\Microsoft\Internet Explorer\Quick Launch54
规则: [文件]*

2010-5-27 22:13:39    修改注册表值    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: HKEY_CURRENT_USER\Software\Classes\CLSID\{C42EB5A1-0EED-E549-91B0-159485860676}\Shell\Open(&O)\Command
值: C:\Program Files\Mozilla Firefox\firefox.exe http://www.521.cc/?m
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2010-5-27 22:13:42    修改注册表值    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: HKEY_CURRENT_USER\Software\Classes\CLSID\{C42EB5A1-0EED-E549-91B0-159485860676}\Shell\Z\Command
值: Rundll32.exe
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2010-5-27 22:13:45    修改注册表值    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: HKEY_CURRENT_USER\Software\Classes\CLSID\{C42EB5A1-0EED-E549-91B0-159485860676}\Shell\属性(&R)\Command
值: Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2010-5-27 22:13:49    创建文件    允许
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Local Settings\Temp\tmp.bat
规则: [文件组]临时目录 -> [文件]c:\documents and settings\xe-cj\local settings\temp; *.bat

2010-5-27 22:13:52    创建新进程    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\DOCUME~1\XE-CJ\LOCALS~1\Temp\tmp.bat
规则: [应用程序]*

2010-5-27 22:13:55    创建文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Local Settings\Temp\tmp.ini
规则: [文件]*

2010-5-27 22:13:58    创建新进程    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: c:\windows\system32\regini.exe
命令行: regini.exe C:\DOCUME~1\XE-CJ\LOCALS~1\Temp\tmp.ini
规则: [应用程序]*

2010-5-27 22:14:00    向其他进程发送消息    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: c:\windows\explorer.exe
消息: WM_KEYDOWN
规则: [应用程序]*

2010-5-27 22:14:01    删除文件    阻止
进程: c:\documents and settings\xe-cj\my documents\垃圾东西\垃圾东西.exe
目标: C:\Documents and Settings\XE-CJ\Local Settings\Temp\tmp.bat
规则: [文件组]临时目录 -> [文件]c:\documents and settings\xe-cj\local settings\temp; *.bat

tmp.bat

REG Add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\ /ve /f
REG Add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{C42EB5A1-0EED-E549-91B0-159485860676}\ /ve /f

JusT.Like

回复 25# 牧羊老汉

算了吧...本打算潜水，浮上来劝劝...对事不对人，没必要闹情绪，和自己过意不去...

牧羊老汉

回复  牧羊老汉

算了吧...本打算潜水，浮上来劝劝...对事不对人，没必要闹情绪，和自己过意不去...
JusT.Like 发表于 2010-5-27 22:21

恩，接受意见

xyq631290

回复 26# XE-cj

是不是让我建一个名为tmp.bat的批处理运行一下啊？

牧羊老汉

回复  XE-cj

是不是让我建一个名为tmp.bat的批处理运行一下啊？
xyq631290 发表于 2010-5-27 23:49

样本释放了一个.bat文件，修改了你2项注册表，其它几处注册表被修改，是样本调用了系统程序regedit.exe完成的。

26楼的hips跟踪，因为样本在创建c:\windows\system32\regini.exe 时就阻止掉了，所以看不到另外几项注册表被修改时的动作。