鬼影病毒样本(解压密码:twoinfected)[MD5: A780B3]

显示全部楼层 · 发表于 2011-2-16 22:56:49

本帖最后由左手于 2011-2-16 22:58 编辑

在文件“I:\virus\1.exe”中检测到病毒或
恶意程序“TR/Dropper.Gen [trojan]”。
执行的操作:拒绝访问
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: I:\virus
规则: [文件]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:\WINDOWS
规则: [文件]*
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\csrss.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\winlogon.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\services.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\lsass.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\avira\antivir desktop\sched.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\avira\antivir desktop\avgnt.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\malware defender\malwaredefender.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\ctfmon.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\avira\antivir desktop\avguard.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\raysource\peeradapter.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\raysource\peer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\raysource\raysource.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\malware defender\mdservice.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\pplive\pptv\pplive.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\greenbrowser\greenbrowser.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 从其他进程复制句柄阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\ttplayer\ttplayer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:51 创建文件阻止
进程: i:\virus\a.exe
目标: C:\Program files\MSDN\atixx.sys
规则: [文件组]Protected[1]_文件保护 -> [文件]?:\program files\*
2011-02-16 22:55:51 修改文件阻止
进程: i:\virus\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:51 修改文件阻止
进程: i:\virus\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:51 修改文件阻止
进程: i:\virus\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:51 修改文件阻止
进程: i:\virus\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: H:\Local Settings\Temporary Internet Files
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:51 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:51 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:52 修改注册表值阻止
进程: i:\virus\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat
值: t
规则: [注册表]*
2011-02-16 22:55:52 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:52 读文件夹阻止
进程: i:\virus\a.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:52 创建新进程阻止
进程: i:\virus\a.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
规则: [应用程序]* -> [子应用程序]c:\windows\system32\*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: I:\virus
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:\WINDOWS
规则: [文件]*
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\csrss.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\winlogon.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\services.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\lsass.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\avira\antivir desktop\sched.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\explorer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\avira\antivir desktop\avgnt.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\malware defender\malwaredefender.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\ctfmon.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\avira\antivir desktop\avguard.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\windows\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\raysource\peeradapter.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\raysource\peer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\raysource\raysource.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\malware defender\mdservice.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) c:\program files\pplive\pptv\pplive.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) h:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\greenbrowser\greenbrowser.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 从其他进程复制句柄阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\csrss.exe
句柄: (Process) d:\program files\ttplayer\ttplayer.exe
规则: [应用程序]* -> [目标应用程序]c:\windows\*.exe
2011-02-16 22:55:53 创建文件阻止
进程: i:\virus\1.exe
目标: C:\Program files\MSDN\atixx.sys
规则: [文件组]Protected[1]_文件保护 -> [文件]?:\program files\*
2011-02-16 22:55:53 修改文件阻止
进程: i:\virus\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:53 修改文件阻止
进程: i:\virus\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:53 修改文件阻止
进程: i:\virus\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:53 修改文件阻止
进程: i:\virus\1.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序]* -> [文件]\device\namedpipe\*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\BaseClass
值: Drive
规则: [注册表]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:\Documents and Settings
规则: [文件]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: H:\Local Settings\Temporary Internet Files
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 修改注册表值阻止
进程: i:\virus\1.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat
值: t
规则: [注册表]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 读文件夹阻止
进程: i:\virus\1.exe
目标: C:
规则: [文件]*
2011-02-16 22:55:53 创建新进程阻止
进程: i:\virus\1.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
规则: [应用程序]* -> [子应用程序]c:\windows\system32\*

显示全部楼层 · 发表于 2011-2-16 23:25:07

大蜘蛛：
vir2\1.exe 已感染： BackDoor.Nedoboot.4
vir2\a.exe 已感染： BackDoor.Nedoboot.4

显示全部楼层 · 发表于 2011-2-16 23:29:59

红伞解压后直接秒杀

显示全部楼层 · 发表于 2011-2-16 23:49:32

已上報趨勢嚕~~

显示全部楼层 · 发表于 2011-2-17 01:17:05

360报安全...................晕

显示全部楼层 · 发表于 2011-2-17 01:21:54

avg失败···················

显示全部楼层 · 发表于 2011-2-17 04:48:50

nod32 kill

显示全部楼层 · 发表于 2011-2-17 08:34:48

的确是鬼影病毒啊
ess kill

2011-2-17 8:43:32 文件系统实时防护文件 D:\下载文件夹\1.exe Win32/Dalixi.A 特洛伊木马通过删除清除 - 已隔离 WWW-738C9D7CF42\Administrator 在应用程序新建的文件上发生事件: D:\Program Files\WinRAR\WinRAR.exe.

2011-2-17 8:43:32 文件系统实时防护文件 D:\下载文件夹\a.exe Win32/Dalixi.A 特洛伊木马通过删除清除 - 已隔离 WWW-738C9D7CF42\Administrator 在应用程序新建的文件上发生事件: D:\Program Files\WinRAR\WinRAR.exe.

显示全部楼层 · 发表于 2011-2-17 10:21:39

本帖最后由 liulangzhecgr 于 2011-2-17 12:26 编辑

两个文件相同：

重启电脑前有cmd.exe进程，窗口不见---隐藏窗口？！cpu占用可不少。。。

重启后再检查！
既然检查。。。贴出图吧！
不知啥原因gmer出错：

xt中真是个鬼影，找不着。。。

tdsskiller :

不过！windows 清理助手---揪出“鬼影”。。。

现在windows清理助手都查杀“鬼影”？！

显示全部楼层 · 发表于 2011-2-17 10:31:04

这个应该算是老病毒了吧 ...

[病毒样本] 鬼影病毒样本(解压密码:twoinfected)[MD5: A780B3]

本帖子中包含更多资源

本帖子中包含更多资源