Gbvgbv病毒（屏蔽杀毒软件）和清除教程

显示全部楼层 · 发表于 2011-1-5 20:55:38

2011-01-05 20:52:36 创建文件允许
进程: f:\program files\haozip\haozip.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\HZ$D.378.2915\HZ$D.378.2916\gbvgbv.exe
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.exe

2011-01-05 20:52:38 创建新进程允许
进程: f:\program files\haozip\haozip.exe
目标: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
命令行: "C:\Documents and Settings\Administrator\Local Settings\Temp\HZ$D.378.2915\HZ$D.378.2916\gbvgbv.exe"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]?:\documents and settings\*\local settings\temp\*

2011-01-05 20:52:40 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\0BA005B0.tmp
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2011-01-05 20:52:41 向其他进程发送消息阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [目标应用程序]c:\windows\explorer.exe

2011-01-05 20:52:42 向其他进程发送消息阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [目标应用程序]c:\windows\explorer.exe

2011-01-05 20:52:47 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:47 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:49 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:49 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:49 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:50 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:50 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:50 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:50 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:50 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:50 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:51 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:51 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:51 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:52 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:52 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:52 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:52 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:53 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\ssdpsrv.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:53 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:53 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:53 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:54 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\browser.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:54 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\pchsvc.dll
规则: [文件组]系统核心目录Ⅰ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:54 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:54 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:55 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:55 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:55 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:56 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:56 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:56 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:56 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:56 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:56 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:57 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:57 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:58 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:58 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:58 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:59 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:59 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:59 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:52:59 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:52:59 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:00 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\ssdpsrv.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:53:01 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:01 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:01 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:01 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\browser.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:53:02 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:02 创建文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\pchsvc.dll
规则: [文件组]系统核心目录Ⅰ -> [文件]c:\windows\*; *.dll

2011-01-05 20:53:02 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:02 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:10 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统核心目录Ⅱ -> [文件]c:\windows\*; *.dll

2011-01-05 20:53:10 修改文件阻止
进程: c:\documents and settings\administrator\local settings\temp\hz$d.378.2915\hz$d.378.2916\gbvgbv.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:10 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp
规则: [注册表组]系统服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services

2011-01-05 20:53:12 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\Tasks\SA.DAT
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

实机

显示全部楼层 · 发表于 2011-1-5 21:28:29

微点报后门

显示全部楼层 · 发表于 2011-1-5 23:55:55

已上報趨勢嚕~

显示全部楼层 · 发表于 2011-1-6 17:16:33

mcafee这次未解压直接砍掉

显示全部楼层 · 发表于 2011-1-6 19:48:26

2011-01-06 19:31:55 创建文件    操作:允许
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:C:\Documents and Settings\Infotmp.txt
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*

2011-01-06 19:31:55 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\78AE03C4.tmp
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:31:59 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\appmgmts.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\qmgr.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\shsvcs.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\mspmsnsv.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\xmlprov.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\ntmssvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\upnphost.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\ssdpsrv.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:03 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\mswsock.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:04 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\tapisrv.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:04 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\browser.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:04 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\pchsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:04 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\regsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:04 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\schedsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:04 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\appmgmts.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\qmgr.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\shsvcs.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\mspmsnsv.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\xmlprov.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\ntmssvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\upnphost.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\ssdpsrv.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:08 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\netman.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:12 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\mswsock.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:12 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\tapisrv.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:12 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\browser.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:12 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\cryptsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:16 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\pchsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:16 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\regsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:16 创建文件    操作:使用任务隔离区操作
进程路径:F:\virus\gbvgbv\gbvgbv.exe
文件路径:F:\schedsvc.dll
触发规则:应用程序规则->其它文件设置->F:\*->F:\*

2011-01-06 19:32:19 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2011-01-06 19:32:22 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ias
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2011-01-06 19:32:24 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Iprip
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2011-01-06 19:32:25 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2011-01-06 19:32:26 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Nwsapagent
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2011-01-06 19:32:28 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmPmSp
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2011-01-06 19:32:29 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSHNAS
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

显示全部楼层 · 发表于 2011-1-6 22:37:28

本帖最后由 yyylll66 于 2011-1-6 23:31 编辑

C:\WINDOWS\system32\gbvgbv00.exe
C:\WINDOWS\system32\gbvgbv01.exe
C:\WINDOWS\system32\gbvgbv02.exe
C:\WINDOWS\system32\gbvgbv05.exe
C:\WINDOWS\system32\gbvgbv06.exe
C:\WINDOWS\system32\gbvgbv07.exe
C:\WINDOWS\system32\gbvgbv08.exe
C:\WINDOWS\system32\gbvgbv09.exe
C:\WINDOWS\system32\gbvgbv10.exe
C:\WINDOWS\system32\gbvgbv11.exe
C:\WINDOWS\system32\gbvgbv12.exe
C:\WINDOWS\system32\gbvgbv13.exe
C:\WINDOWS\system32\gbvgbv14.exe
C:\WINDOWS\system32\gbvgbv15.exe
C:\WINDOWS\system32\gbvgbv16.exe
C:\WINDOWS\system32\gbvgbv17.exe
C:\WINDOWS\system32\gbvgbv18.exe
C:\WINDOWS\system32\gbvgbv19.exe
C:\WINDOWS\system32\gbvgbv20.exe
C:\WINDOWS\system32\gbvgbv21.exe
C:\WINDOWS\system32\gbvgbv22.exe

这些文件其实是同一个文件，也是正常文件，就是系统的rundll32.exe，
有兴趣的朋友可以看看他们的md5码是否一致！~
我没猜错的话，替换修改系统文件appmgmts.dll ddraw.dll dsound.dll comres.dll等，关键是system32下的数字.sys和修改后的appmgmts.dll开启的服务！~

显示全部楼层 · 发表于 2011-1-8 11:03:31

难道没有跟简单方法~~~

显示全部楼层 · 发表于 2011-1-8 11:24:26

回复 26楼 yyylll66 的帖子

此病毒好杀？！

问题是他感染非系统盘的很多可执行文件（ark工具，强删工具没有一个逃过

）。。。若开机启动的软件安装在非系统盘！恐怕ghost恢复系统也再次中毒。。。！

中毒的xt来检查系统时。。。
病毒与内核钩子挂钩,fsd挂钩！还有tcpip挂钩。。。映像劫持不用说啦！

显示全部楼层 · 发表于 2011-1-8 11:27:54

2011-1-8 11:25:30 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-1-8 11:25:31 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-1-8 11:25:32 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-1-8 11:25:32 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\System\*ControlSet*\Control\Keyboard Layouts\*

2011-1-8 11:25:33 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\0B760608.tmp
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; appmgmts.dll

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; qmgr.dll

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; mspmsnsv.dll

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; xmlprov.dll

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; ntmssvc.dll

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; upnphost.dll

2011-1-8 11:25:37 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\tapisrv.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; tapisrv.dll

2011-1-8 11:25:38 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\pchsvc.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; regsvc.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\schedsvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; schedsvc.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; appmgmts.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; qmgr.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\mspmsnsv.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; mspmsnsv.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; xmlprov.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; ntmssvc.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; upnphost.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\tapisrv.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; tapisrv.dll

2011-1-8 11:25:39 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\pchsvc.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\regsvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; regsvc.dll

2011-1-8 11:25:39 修改文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\schedsvc.dll
规则: [文件组]系统文件加强型保护(防修改) -> [文件]c:\windows\system32; schedsvc.dll

2011-1-8 11:25:40 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:41 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:41 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\6to4.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:42 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:43 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:43 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\Ias.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:44 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:45 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:46 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\Iprip.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:46 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:47 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:48 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\Irmon.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:48 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:49 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:50 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\NWCWorkstation.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:51 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:51 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:52 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\Nwsapagent.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

2011-1-8 11:25:53 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:53 创建注册表项阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp\Parameters
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\SYSTEM\*Controlset*\Services\*

2011-1-8 11:25:54 创建文件阻止
进程: c:\documents and settings\administrator\桌面\gbvgbv\gbvgbv.exe
目标: C:\WINDOWS\system32\WmdmPmSp.dll
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows\system32; *.*

很牛的感染型病毒[:26:]

显示全部楼层 · 发表于 2011-1-8 11:35:55

本帖最后由 liulangzhecgr 于 2011-1-8 11:39 编辑

回复 29楼 zuo 的帖子

用md阻止病毒行为！。。。看不了感染非系统盘的。。。！

日志中怎么没有看出*.sys创建以及加载驱动，服务？！

[病毒样本] Gbvgbv病毒（屏蔽杀毒软件）和清除教程