发一个全盘多重感染样本，顺带请教一个问题

显示全部楼层 · 发表于 2011-2-15 22:47:28

趨勢kill嚕PE~~

显示全部楼层 · 发表于 2011-2-16 22:00:19

谁用mcafee帮忙测试下,我手机党

显示全部楼层 · 发表于 2011-2-17 10:01:19

本帖最后由 hansyu 于 2011-2-17 10:02 编辑

sololp 发表于 2011-2-16 22:00
谁用mcafee帮忙测试下,我手机党

用企业版8.8帮你测了下，有两种结果。
第一种，默认级别月神下

清除后两文件MD5一样，而且和趋势清除后所得的MD5值也相同，清除成功。

第二种，最高月神级别下
原始文件正常清除，而drweb清除后的那个直接被Artemis!了……

显示全部楼层 · 发表于 2011-2-17 12:18:55

KIS KILL AT ONCE

显示全部楼层 · 发表于 2011-2-17 22:08:42

2011-02-17 22:06:13 创建文件    操作:允许
进程路径:C:\3c820b5b.exe
文件路径:C:\Documents and Settings\Infotmp.txt
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*

2011-02-17 22:06:13 创建文件    操作:允许
进程路径:C:\3c820b5b.exe
文件路径:C:\WINDOWS\system32\437903B8.tmp
触发规则:所有程序规则->WINDOWS临时文件设置->%windir%\*.tmp

2011-02-17 22:06:13 加载库文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\system32\437903B8.tmp
触发规则:应用程序规则->加载库文件->%windir%\Explorer.EXE->*\*.tmp

2011-02-17 22:06:17 修改文件    操作:阻止并结束进程
进程路径:C:\3c820b5b.exe
文件路径:C:\WINDOWS\system32\appmgmts.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\appmgmts.dll

2011-02-17 22:06:18 创建文件    操作:允许
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\WINDOWS\system32\runouce.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2011-02-17 22:06:19 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\runouce.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe

2011-02-17 22:06:45 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Speech\sapisvr.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\五彩激光.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\冰川.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\向日葵.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\常春藤.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\彩珠.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\技术型.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\晴朗.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\树叶.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\秋叶.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\空白.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\糖果.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\自然.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\节日.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:45 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\Stationery\饼图.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\Microsoft Shared\*

2011-02-17 22:06:46 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Common Files\System\ado\MDACReadme.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\System\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwconn2.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwrmind.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\inetwiz.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\Connection Wizard\isignup.exe
触发规则:所有程序规则->%ProgramFiles%设置->C:\Program Files\Internet Explorer\Connection Wizard\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\iedw.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Internet Explorer\*

2011-02-17 22:06:47 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Internet Explorer\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Messenger\msmsgs.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Messenger\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Movie Maker\moviemk.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Movie Maker\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\NetMeeting\cb32.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\NetMeeting\conf.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\NetMeeting\netmeet.htm
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\NetMeeting\wb32.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\NetMeeting\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Outlook Express\msimn.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Outlook Express\oemig50.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Outlook Express\setup50.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Outlook Express\wab.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-02-17 22:06:49 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\Outlook Express\wabmig.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Outlook Express\*

2011-02-17 22:06:51 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:C:\Program Files\江门有线宽带登陆\update\load.exe
触发规则:所有程序规则->白名单与黑名单->*\load.exe

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-en-uk.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-en-us.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-text-en-uk.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-text-en-us.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-text-zh-cn.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-text-zh-hk.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-text-zh-tw.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-zh-cn.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-zh-hk.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:55 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\Nokia_Ovi_Suite_install_files\EULA\eula-zh-tw.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.mippin.nokia.ovi214499\appwizard214499_v1_2\index.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\index.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\privacy-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\service-item-sub.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\service-item.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\tos-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\widget-about.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.tom.modern\MRM_1.0\widget-help.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:56 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.mobilesrepublic.wrt.elle\Elle\index.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:57 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\hk.car1.nokia.widget\Car1.hk\frame.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:57 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\hk.car1.nokia.widget\Car1.hk\header.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:57 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\hk.car1.nokia.widget\Car1.hk\index.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:57 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\hk.car1.nokia.widget\Car1.hk\main.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.nokia.forum.widget.yuncheng1.0\yuncheng\privacy-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.nokia.forum.widget.yuncheng1.0\yuncheng\tos-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.nokia.forum.widget.yuncheng1.0\yuncheng\yuncheng.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.youku\YouKu-V20100812ad\about.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.youku\YouKu-V20100812ad\help.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.youku\YouKu-V20100812ad\index.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.youku\YouKu-V20100812ad\privacy-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:58 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.youku\YouKu-V20100812ad\tos-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:59 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.TudouTV.widget\WebVideo\index.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:59 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.TudouTV.widget\WebVideo\privacy-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:06:59 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:D:\可移动磁盘 (H)\private\10282822\com.TudouTV.widget\WebVideo\tos-zh_Hans.html
触发规则:所有程序规则->全局设置->*\*.html

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\向日葵.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\空白.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\糖果.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\秋叶.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\晴朗.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\节日.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\冰川.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\常春藤.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\树叶.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\彩珠.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\自然.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\五彩激光.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\饼图.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:03 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\Microsoft Shared\Stationery\技术型.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:04 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Common Files\System\ado\MDACReadme.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\Connection Wizard\icwconn2.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\Connection Wizard\inetwiz.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\Connection Wizard\icwrmind.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\Connection Wizard\isignup.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\Connection Wizard\icwtutor.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:04 修改文件    操作:使用任务隔离区操作
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\Internet Explorer\iedw.exe
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\NetMeeting\netmeet.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\Program Files\WinRAR\Order.htm
触发规则:所有程序规则->全局设置->*\*.htm

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP1\A0000008.exe
触发规则:所有程序规则->系统备份目录->?:\System Volume Information\*.exe

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP1\A0000009.exe
触发规则:所有程序规则->系统备份目录->?:\System Volume Information\*.exe

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP1\A0000022.exe
触发规则:所有程序规则->系统备份目录->?:\System Volume Information\*.exe

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP1\A0000023.exe
触发规则:所有程序规则->系统备份目录->?:\System Volume Information\*.exe

2011-02-17 22:07:05 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:E:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP1\A0000025.exe
触发规则:所有程序规则->系统备份目录->?:\System Volume Information\*.exe

2011-02-17 22:07:06 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:F:\GHOST\GHOST.EXE
触发规则:高优先规则->需要保护的文件->*\GHOST.EXE

2011-02-17 22:07:09 修改文件    操作:阻止
进程路径:F:\virus\ArSwp3[1].exe\ArSwp3.exe
文件路径:F:\BOOTICE\BOOTICE\BOOTICE.EXE
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-02-17 22:07:10 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\runouce.exe
文件路径:C:\WINDOWS\system32\runouce.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->%windir%\*

2011-02-17 22:07:10 修改注册表内容    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\runouce.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Runonce
更改后:C:\WINDOWS\system32\runouce.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

显示全部楼层 · 发表于 2011-2-17 22:58:42

回复 33楼 hansyu 的帖子

mcafee不错
drweb的修复经常有问题
更悲剧的是panda,只清除原文件(W32/Chir.B),清除后的文件和蜘蛛修复的那个一起被启发

显示全部楼层 · 发表于 2011-2-18 11:11:08

修复后感染样本测试
2011-02-18 11:09:07 创建文件    操作:允许
进程路径:C:\3c820b5b.exe
文件路径:C:\Documents and Settings\Infotmp.txt
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*

2011-02-18 11:09:07 创建文件    操作:允许
进程路径:C:\3c820b5b.exe
文件路径:C:\WINDOWS\system32\7E7C03B4.tmp
触发规则:所有程序规则->WINDOWS临时文件设置->%windir%\*.tmp

2011-02-18 11:09:11 修改文件    操作:阻止并结束进程
进程路径:C:\3c820b5b.exe
文件路径:C:\WINDOWS\system32\appmgmts.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\appmgmts.dll

显示全部楼层 · 发表于 2011-2-22 08:15:55

回复 33楼 hansyu 的帖子

个人版测试月神开到最高修复没有问题...

显示全部楼层 · 发表于 2011-2-22 08:29:31

回复 33楼 hansyu 的帖子

第二个文件修复，第一个直接删除。。。

显示全部楼层 · 发表于 2011-2-22 09:25:59

sololp 发表于 2011-2-22 08:29
回复 33楼 hansyu 的帖子

第二个文件修复，第一个直接删除。。。

企业版默认设置是两个都能修复。。

[病毒样本] 发一个全盘多重感染样本，顺带请教一个问题

本帖子中包含更多资源