高质量，Ring3下感染MBR

ppy0606

2011-4-1 18:29:12    修改文件    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-4-1 18:29:12    修改文件    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-4-1 18:29:12    修改文件    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-4-1 18:29:12    修改文件    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-4-1 18:29:12    修改文件    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-4-1 18:29:12    修改注册表值    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-1 18:29:12    删除注册表值    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-1 18:29:12    删除注册表值    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-1 18:29:12    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 2088] ->  [127.0.0.1 : 2088]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:12    修改注册表值    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-1 18:29:12    删除注册表值    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-1 18:29:12    删除注册表值    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]自用程序(陌生程序 自写规则) -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-1 18:29:12    启动驱动程序或服务    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: Network Location Awareness (NLA)
文件路径: C:\WINDOWS\system32\svchost.exe -k netsvcs
规则: [应用程序]*

2011-4-1 18:29:12    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 65007] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:16    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 61307] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:21    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 56795] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:25    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 59929] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:29    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 60932] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:33    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 60278] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:38    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 65008] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:42    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 59041] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:46    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 56682] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-1 18:29:50    访问网络    阻止
进程: d:\我的文档\virus test\鬼影2\鬼影2\鬼影2.exe
目标: UDP [本机 : 57150] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

ablhr

avast 杀

hddu

2011-04-01 19:33:17    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm?id=4"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:33:20    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:33:29    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:33:32    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:33:41    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://www.46.com/index91.htm"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:33:42    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:33:52    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:33:55    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:34:04    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:34:06    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:34:15    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:34:17    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:34:26    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:34:29    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:34:42    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:34:44    运行应用程序      操作:阻止
进程路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
文件路径:C:\WINDOWS\system32\ctfmon.exe
触发规则:应用程序规则->防止网马->%ProgramFiles%\Internet Explorer\iexplore.exe->%WinDir%\*

2011-04-01 19:34:54    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行:"http://u592022.778669.com/fshowurl.php?id=155001"
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2011-04-01 19:35:04    底层写磁盘操作      操作:阻止
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
操作磁盘:\Device\Harddisk0\DR0
触发规则:所有程序规则->*

2011-04-01 19:35:05    运行应用程序      操作:允许
进程路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del F:\virus\鬼影2\鬼影2\鬼影2.exe >> NUL
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-04-01 19:35:10    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\鬼影2\鬼影2\鬼影2.EXE
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

5230

michaelchina 发表于 2011-4-1 13:09
回复 12楼 李不知 的帖子

内核加固拦截，还有木马防御拦截

瑞星的内核加固中级，没有选择磁盘底层防护能防御不？不知道你选择这项没有？

michaelchina

回复 34楼 5230 的帖子

我用的都是高级，不选底层够呛，记得有拦截这个

huangqian202

to N360

liulangzhecgr

Installation Report: 鬼影2
Generated by InCtrl5, version 1.0.0.0
Install program: F:\downloads\鬼影2\鬼影2\鬼影2.exe
4-1-2011 12:59 PM

------------------------------------------------------------
Registry
********

Keys ignored: 0
---------------
        * (none)

Keys added: 32
--------------
        HKEY_CLASSES_ROOT\.IE
        HKEY_CLASSES_ROOT\.JE
        HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open
        HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell
        HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage
        HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
        HKEY_CLASSES_ROOT\IE
        HKEY_CLASSES_ROOT\IE\DefaultIcon
        HKEY_CLASSES_ROOT\IE\shell
        HKEY_CLASSES_ROOT\IE\shell\open
        HKEY_CLASSES_ROOT\IE\shell\open\command
        HKEY_CLASSES_ROOT\JE
        HKEY_CLASSES_ROOT\JE\shell
        HKEY_CLASSES_ROOT\JE\shell\open
        HKEY_CLASSES_ROOT\JE\shell\open\command
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#PCI#VEN_8086&DEV_2445&SUBSYS_4730414C&REV_05#3&13C0B0C5&0&FD#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#Wave\Device Parameters\Mixer\Line
        ... ...
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\FDC\GENERIC_FLOPPY_DRIVE\5&345fbd89&0&0\Capabilities

Keys deleted: 22
----------------
        HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
        ... ...

        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{6994AD04-93EF-11D0-A3CC-00A0C9223196}\##?#PCI#VEN_8086&DEV_2445&SUBSYS_4730414C&REV_05#3&13C0B0C5&0&FD#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\#Wave\Device Parameters\Mixer\0&FD
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\FDC\GENERIC_FLOPPY_DRIVE\5&345fbd89&0&0\DeviceDesc

Values added: 27
----------------
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu "{871C5380-42A0-1069-A2EA-08002B30309D}.default"
                Type: REG_SZ
                Data: 1
        ... ...

        HKEY_CLASSES_ROOT\.JE "(Default)"
                Type: REG_SZ
                Data: JE
        HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage "(Default)"
                Type: REG_SZ
                Data: 打开主页(&O)
        HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command "(Default)"
                Type: REG_SZ
                Data: C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.46.com/index91.htm
        HKEY_CLASSES_ROOT\IE "(Default)"
                Type: REG_SZ
                Data: 快捷方式
        HKEY_CLASSES_ROOT\IE\DefaultIcon "(Default)"
                Type: REG_SZ
                Data: shdoclc.dll,0
        HKEY_CLASSES_ROOT\IE\shell\open\command "(Default)"
                Type: REG_SZ
                Data: C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.46.com/index91.htm
        HKEY_CLASSES_ROOT\JE "(Default)"
                Type: REG_SZ
                Data: 快捷方式
        HKEY_CLASSES_ROOT\JE\shell\open\command "(Default)"
                Type: REG_SZ
                Data: C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.laitao.me

Values deleted: 8
-----------------
        HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba} "(Default)"
                Type: REG_SZ
                Data: Computer Search Results Folder
        ... ...

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba} "(Default)"
                Type: REG_SZ
                Data: Computer Search Results Folder

Values changed: 28
------------------
        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Default_Page_URL"
                Old type: REG_SZ
                New type: REG_SZ
                Old data: about:blank
                New data: http://www.46.com/index91.htm
        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Start Page"
                Old type: REG_SZ
                New type: REG_SZ
                Old data: about:blank
                New data: http://www.46.com/index91.htm
        HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Security\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2 "UserFile"
                Old type: REG_BINARY
                New type: REG_BINARY
                Old data: 01, 00, 00, 00, D0, 8C, 9D, DF, 01, 15, D1, 11, 8C, 7A, 00, C0, 4F, C2, 97, EB, 01, 00, 00, 00, E5, 73, 14, A4, 88, F2, 05, 4A, A4, 20, 27, D9, D8, 72, 17, 40, 00, 00, 00, 00, 12, 00, 00, 00, 55, 00, 73, 00, 65, 00, 72, 00, 46, 00, 69, 00, 6C, 00, 65, 00, 00, 00, 03, 66, 00, 00, A8, 00, 00, 00, 10, 00, 00, 00, F0, 5B, F0, 2D, D6, D5, A8, B4, 3B, E4, A5, 9F, 3F, 03, 73, 31, 00, 00, 00, 00, 04, 80, 00, 00, A0, 00, 00, 00, 10, 00, 00, 00, C6, 27, A9, 9F, 6D, 8C, 3C, 71, 92, 2B, 0F, 59, 91, 49, 40, C4, 10, 00, 00, 00, 1C, 9C, 41, C3, 47, F3, 09, 2F, 3C, 85, 94, A5, 3C, EF, E8, A2, 14, 00, 00, 00, 71, BB, BA, 6D, 91, 2D, B5, 76, B3, 54, 71, FE, 1D, E1, D1, A2, 8B, F1, 16, DC
                New data: 01, 00, 00, 00, D0, 8C, 9D, DF, 01, 15, D1, 11, 8C, 7A, 00, C0, 4F, C2, 97, EB, 01, 00, 00, 00, E5, 73, 14, A4, 88, F2, 05, 4A, A4, 20, 27, D9, D8, 72, 17, 40, 00, 00, 00, 00, 12, 00, 00, 00, 55, 00, 73, 00, 65, 00, 72, 00, 46, 00, 69, 00, 6C, 00, 65, 00, 00, 00, 03, 66, 00, 00, A8, 00, 00, 00, 10, 00, 00, 00, 79, BF, 9E, 72, 1D, D8, 37, 4C, 94, 7D, 7B, 48, 2D, DC, 35, DB, 00, 00, 00, 00, 04, 80, 00, 00, A0, 00, 00, 00, 10, 00, 00, 00, CA, F8, DF, 01, F0, 54, E9, 32, D1, 16, D4, 55, C6, C0, 13, E6, 10, 00, 00, 00, EF, 82, 5D, 58, ED, 5C, C0, 37, 34, 0F, AC, EA, 4D, 90, 45, D3, 14, 00, 00, 00, 8D, 22, DC, 28, 0B, A7, 76, 0C, 77, FB, 77, E7, C4, D3, 32, 8D, 04, 63, 71, A3
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 01, 00, 00, 00
                New data: 02, 00, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "HideFileExt"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 00, 00, 00, 00
                New data: 01, 00, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu "{871C5380-42A0-1069-A2EA-08002B30309D}"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 00, 00, 00, 00
                New data: 02, 00, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel "{871C5380-42A0-1069-A2EA-08002B30309D}"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 00, 00, 00, 00
                New data: 02, 00, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage "ProgramsCache"
                Old type: REG_BINARY
                New type: REG_BINARY
                Old data: (data too large: 28936 bytes)
                New data: (data too large: 29033 bytes)
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{72267F6A-A6F9-11D0-BC94-00C04FB67863}\iexplore "Count"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 20, 00, 00, 00
                New data: 24, 00, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{72267F6A-A6F9-11D0-BC94-00C04FB67863}\iexplore "Time"
                Old type: REG_BINARY
                New type: REG_BINARY
                Old data: DB, 07, 04, 00, 05, 00, 01, 00, 04, 00, 1B, 00, 26, 00, B5, 01
                New data: DB, 07, 04, 00, 05, 00, 01, 00, 04, 00, 36, 00, 28, 00, CB, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore "Count"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 8E, 14, 00, 00
                New data: 99, 14, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore "Time"
                Old type: REG_BINARY
                New type: REG_BINARY
                Old data: DB, 07, 04, 00, 05, 00, 01, 00, 04, 00, 2F, 00, 28, 00, 71, 02
                New data: DB, 07, 04, 00, 05, 00, 01, 00, 04, 00, 36, 00, 19, 00, C8, 03
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}\iexplore "Count"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 4C, 00, 00, 00
                New data: 55, 00, 00, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}\iexplore "Time"
                Old type: REG_BINARY
                New type: REG_BINARY
                Old data: DB, 07, 04, 00, 05, 00, 01, 00, 04, 00, 2A, 00, 1E, 00, 22, 02
                New data: DB, 07, 04, 00, 05, 00, 01, 00, 04, 00, 36, 00, 18, 00, FA, 00
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ED8C108E-4349-11D2-91A4-00C04F7969E8}\iexplore "Count"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 0C, 00, 00, 00
                New data: 0E, 00, 00, 00
        ... ...

        HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon "(Default)"
                Old type: REG_EXPAND_SZ
                New type: REG_SZ
                Old data: %SystemRoot%\explorer.exe,-253
                New data: C:\Program Files\Internet Explorer\IEXPLORE.EXE
        HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command "(Default)"
                Old type: REG_EXPAND_SZ
                New type: REG_SZ
                Old data: C:\Program Files\Internet Explorer\iexplore.exe
                New data: C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.46.com/index91.htm
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
                Old type: REG_BINARY
                New type: REG_BINARY
                Old data: 1A, 2D, 5B, 8E, EC, 22, 0E, ED, F2, 0F, 19, 52, 45, C7, 64, 2A, 9C, 25, 87, 38, 9B, CC, 2A, 19, D2, 31, 36, 6F, D1, 37, C5, 69, 97, E3, C3, 8A, C2, F4, C2, C7, 92, 82, 3F, BD, FC, A6, 37, EB, 1C, B4, B7, 2E, 70, 33, 33, 56, C3, 0B, 2C, D7, 3D, 3B, E7, 49, CD, CE, CB, A6, AE, 54, 74, 3B, CB, 8B, EA, 34, 22, 74, 2F, AD
                New data: C6, 0D, C5, 28, 63, AD, E6, 85, 74, 13, 52, 66, D7, FF, FF, 90, DF, 3F, 58, 7F, BB, 55, 4D, E3, E5, 1B, 29, 2D, 67, 9D, 5A, B2, 36, 6F, 83, 0A, 4B, 18, 4E, 76, 75, 6D, 05, B5, A0, 51, EB, 85, C3, 27, F4, 66, F8, 33, 45, 09, 21, 66, DA, 2A, 1F, F0, 5E, 32, C8, 49, D4, 57, 60, D3, F5, F6, 72, 8F, 07, 45, 94, 52, EF, DA
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu "{871C5380-42A0-1069-A2EA-08002B30309D}"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 00, 00, 00, 00
                New data: 02, 00, 00, 00
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu "{871C5380-42A0-1069-A2EA-08002B30309D}.default"
                Old type: REG_SZ
                New type: REG_SZ
                Old data: 0
                New data: 1
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel "{871C5380-42A0-1069-A2EA-08002B30309D}"
                Old type: REG_DWORD
                New type: REG_DWORD
                Old data: 00, 00, 00, 00
                New data: 02, 00, 00, 00
------------------------------------------------------------
Files added: 215
----------------
        c:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
                Date: 4-1-2011 12:54 PM
                Size: 0 bytes
        ... ...

        c:\Documents and Settings\All Users\桌面\Internet Explorer.IE
                Date: 4-1-2011 12:54 PM
                Size: 0 bytes
        c:\WINDOWS\VC.ini
                Date: 4-1-2011 12:54 PM
                Size: 896 bytes

Files deleted: 1
----------------
        f:\downloads\鬼影2\鬼影2\鬼影2.exe
                Date: 4-1-2011 10:46 AM
                Size: 77,824 bytes

arsh

小红伞网页监控拦截

秋$风

警告
--------------------------------------------------------------------------------

为保证您的安全，将不会访问此网页


在请求的页面的 HTTP 数据中发现病毒或恶意程序。

--------------------------------------------------------------------------------

请求的 URL: http://bbs.kafan.cn/forum-attach ... Q5NzI4MA%3D%3D.html
信息: 包含 HEUR/Malware 可疑代码


--------------------------------------------------------------------------------

由 AntiVir WebGuard 10.01.00.00 生成，AVE 8.2.4.192，VDF 7.11.5.147

红伞杀

5230

michaelchina 发表于 2011-4-1 20:29
回复 34楼 5230 的帖子

我用的都是高级，不选底层够呛，记得有拦截这个

记得qq等软件都有底层访问，开了会很多误报吧