[病毒样本] .

显示全部楼层 · 发表于 2010-12-26 19:55:13

只能说诺顿的SONAR太强了！！

显示全部楼层 · 发表于 2010-12-26 20:06:47

微点包括金山卫士2.20都报

显示全部楼层 · 发表于 2010-12-26 20:26:10

回复 20楼 jayavira 的帖子

我的也未报，拦截了另一个文件

显示全部楼层 · 发表于 2010-12-26 20:33:06

回复 57楼 qqq123123 的帖子

不是吧，我正准备实机试下呢

显示全部楼层 · 发表于 2010-12-26 20:50:54

回复 180楼 zuo 的帖子

这个规则牛！！

显示全部楼层 · 发表于 2010-12-26 21:39:56

回复 110楼 qqq123123 的帖子

请问在全局规则中禁止访问全局文件能否防得住该病毒呢？

显示全部楼层 · 发表于 2011-2-10 16:23:52

AVG报

显示全部楼层 · 发表于 2011-2-10 19:26:15

文件的位置: C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE
<启动方式>  :  不能自动启动
<当前状态>  :  文件已被删除

运行次数 :  2    首次运行 : 2011-02-10 19:23:55    最近运行 : 2011-02-10 19:23:55

主要动作 :       修改文件名  增加文件  删除文件  修改程序文件

   文件移动(改名)经过:
-------------------------------------------------------------

      修改时间 : 2011-02-10 19:23:25
      旧文件名 : C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\VMWAREDND\72B3BCE5\系统玉鬼魅.EXE
      新文件名 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE
      执行者 : C:\WINDOWS\EXPLORER.EXE

      修改时间 : 2011-02-10 19:24:07
      旧文件名 : C:\WINDOWS\SYSTEM32\226.ICO
      新文件名 : C:\WINDOWS\SYSTEM32\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011393.ICO
      执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE

      修改时间 : 2011-02-10 19:24:07
      旧文件名 : C:\WINDOWS\SYSTEM32\225.ICO
      新文件名 : C:\WINDOWS\SYSTEM32\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011392.ICO
      执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE

      修改时间 : 2011-02-10 19:24:07
      旧文件名 : C:\WINDOWS\SYSTEM32\$WINNT$.INF
      新文件名 : C:\WINDOWS\SYSTEM32\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011391.INF
      执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE

      修改时间 : 2011-02-10 19:24:07
      旧文件名 : C:\NTDETECT.COM
      新文件名 : C:\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011390.COM
      执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE

      修改时间 : 2011-02-10 19:24:07
      旧文件名 : C:\MSDOS.SYS
      新文件名 : C:\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011389.SYS
      执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE

      修改时间 : 2011-02-10 19:24:07
      旧文件名 : C:\IO.SYS
      新文件名 : C:\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011388.SYS
      执行者 : C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\系统玉鬼魅.EXE

   运行记录:
-------------------------------------------------------------

      启动时间: 2011-02-10 19:23:55
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数:  C:\Documents and Settings\Administrator\桌面\系统玉鬼魅.exe

      启动时间: 2011-02-10 19:23:55
      启动者: C:\WINDOWS\EXPLORER.EXE
      启动参数: API 方式加载

   文件变更过程:
-------------------------------------------------------------

      操作者 : C:\WINDOWS\EXPLORER.EXE
      操作时间 : 2011-02-10 19:23:25
      操作类型 : 新建

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-02-10 19:24:14
      操作类型 : 删除

      操作者 : C:\PROGRAM FILES\E-SCOUT\EST02009.EXE
      操作时间 : 2011-02-10 19:24:14
      操作类型 : 删除

   该程序操作的文件(共91)
-------------------------------------------------------------

      文件名 : C:\WINDOWS\SYSTEM32\A15.TBL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\6TO4SVC.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\44.TXT
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011393.ICO
      时间 : 2011-02-10 19:24:07
      动作 : 新建

      文件名 : C:\WINDOWS\SYSTEM32\226.ICO
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\226.ICO
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011392.ICO
      时间 : 2011-02-10 19:24:07
      动作 : 新建

      文件名 : C:\WINDOWS\SYSTEM32\225.ICO
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\225.ICO
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\12520850.CPX
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\12520437.CPX
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011391.INF
      时间 : 2011-02-10 19:24:07
      动作 : 新建

      文件名 : C:\WINDOWS\SYSTEM32\$WINNT$.INF
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\$WINNT$.INF
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011390.COM
      时间 : 2011-02-10 19:24:07
      动作 : 新建

      文件名 : C:\NTDETECT.COM
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\NTDETECT.COM
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\NTDETECT.COM
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011389.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 新建

      文件名 : C:\MSDOS.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\MSDOS.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\MSDOS.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\\DEVICE\HARDDISKVOLUME1\SYSTEM VOLUME INFORMATION\_RESTORE{EEFE0E7B-24B6-4463-880C-5DBA401EB93B}\RP5\A0011388.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 新建

      文件名 : C:\IO.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\IO.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\IO.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\CONFIG.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\CONFIG.SYS
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\NTLDR
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACCTRES.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AAAAMON.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\A234.TBL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ARRAYHW.TAB
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ARRAY30.TAB
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ARPTR.TBL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ARPHR.TBL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ARP.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\APPMGR.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\APPMGMTS.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\APPHELP.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\APPEND.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\APCUPS.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ANSI.SYS
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AMSTREAM.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ALRSVC.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ALG.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AHUI.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADVPACK.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADVAPI32.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADSNW.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADSNT.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADSNDS.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADSMSEXT.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADSLDPC.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADSLDP.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADPTIF.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ADMPARSE.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACTXPRXY.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACTMOVIE.EXE
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACTIVEDS.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACODE.TBL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACLUI.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACLEDIT.DLL
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ACCWIZ.EXE
      时间 : 2011-02-10 19:24:07
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AVIFIL32.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AVICAP32.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AVICAP.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTOLFN.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTOFMT.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTOEXEC.NT
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTODISC.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTOCONV.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTOCHK.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUTHZ.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUDITUSR.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AUDIOSRV.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATTRIB.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATRACE.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATMPVCNO.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATMLIB.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATMFD.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATMADM.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATL.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ATKCTRS.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\AT.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ASYCFILT.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ASR_PFU.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ASR_LDM.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ASR_FMT.EXE
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ASFERROR.DLL
      时间 : 2011-02-10 19:24:08
      动作 : 删除

      文件名 : C:\WINDOWS\SYSTEM32\ASCTRLS.OCX
      时间 : 2011-02-10 19:24:08
      动作 : 删除

   该文件运行的所有程序:
-------------------------------------------------------------

      程序路径 : C:\PROGRAM FILES\KINGSOFT\WEBSHIELD\KWSUI.DLL
      运行时间 : 2011-02-10 19:23:55
      运行参数 : API 方式加载

      程序路径 : C:\PROGRAM FILES\KINGSOFT\WEBSHIELD\KSWEBSHIELD.DLL
      运行时间 : 2011-02-10 19:23:56
      运行参数 : API 方式加载

显示全部楼层 · 发表于 2011-2-13 20:46:21

如此强悍?下来看看.

显示全部楼层 · 发表于 2011-2-13 21:16:32

小a秒杀