小病毒 110515 密码：1

显示全部楼层 · 发表于 2011-5-15 12:36:08

https://token.lenovodata.com/checkAccessCode.php?code=0121dd547a485d1e4389ce243298b0e484a3abe458bedce0&sec=yes

显示全部楼层 · 发表于 2011-5-15 12:41:06

360 SD 清空

显示全部楼层 · 发表于 2011-5-15 12:57:37

MSE固定不报BANKER

2011-05-15T04:41:55.319Z DETECTION TrojanDownloader:Win32/Delf.NT file:F:\555\bbb.exe->(RarSfx)->setup3021.exe->(UPX)
2011-05-15T04:41:55.319Z DETECTION TrojanDownloader:Win32/Waledac.C file:F:\555\ccc.exe
2011-05-15T04:41:55.319Z DETECTION TrojanDownloader:Win32/Renos.PG file:F:\555\ddd.exe->(nsis-5-$(PLUGINSDIR)\1EuroP.exe)
2011-05-15T04:41:55.382Z DETECTION Trojan:Win32/Meredrop file:F:\555\ddd.exe->(nsis-5-$(PLUGINSDIR)\2IC.exe)
2011-05-15T04:41:55.382Z DETECTION Trojan:Win32/Meredrop file:F:\555\ddd.exe->(nsis-5-$(PLUGINSDIR)\rich.exe)
2011-05-15T04:41:55.382Z DETECTION TrojanDownloader:Win32/Harnig.S file:F:\555\ddd.exe->(nsis-5-$(PLUGINSDIR)\3E4U - Bucks.exe)->(UPX)
2011-05-15T04:41:55.397Z DETECTION Trojan:Win32/Hiloti file:F:\555\ddd.exe->(nsis-5-$(PLUGINSDIR)\6tbp.exe)
2011-05-15T04:41:55.413Z DETECTION Worm:Win32/Autorun.ABB file:F:\555\eee.exe->(UPX)

显示全部楼层 · 发表于 2011-5-15 13:01:10

KIS

检测到威胁: HEUR:Trojan.Win32.Generic e:\download\555\555\bbb.exe/setup3021.exe/UPX
检测到威胁: Trojan.Win32.Vilsel.ayje e:\download\555\555\eee.exe/UPX
检测到威胁: HEUR:Trojan.Win32.Generic e:\download\555\555\ddd.exe/data0003
检测到威胁: Trojan-Banker.Win32.Banker.bkyj e:\download\555\555\aaa.exe/glPlug.exe
检测到威胁: Trojan-Downloader.Win32.FraudLoad.zfay e:\download\555\555\ccc.exe

显示全部楼层 · 发表于 2011-5-15 13:13:29

ESET v5 7个
金山 8个

显示全部楼层 · 发表于 2011-5-15 13:17:12

eset 清空
C:\Users\微亿毫\Desktop\555\555\aaa.exe » RAR » glPlug.exe - probably a variant of Win32/Spy.Banbra.OHO trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\bbb.exe » RAR » rfw1520943.exe - a variant of Win32/TrojanDownloader.Agent.QRK trojan
C:\Users\微亿毫\Desktop\555\555\bbb.exe » RAR » setup3021.exe - a variant of Win32/TrojanDownloader.Delf.QEW trojan
C:\Users\微亿毫\Desktop\555\555\ccc.exe - a variant of Win32/Kryptik.NPH trojan - cleaned by deleting - quarantined
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 1EuroP.exe - Win32/TrojanDownloader.FakeAlert.BBT trojan
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 2IC.exe - Win32/Olmarik.AMN trojan
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 3E4U - Bucks.exe - a variant of Win32/Kryptik.NIS trojan
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 6tbp.exe - Win32/Cimag.DU trojan
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » rich.exe - Win32/Bamital.FA trojan
C:\Users\微亿毫\Desktop\555\555\eee.exe - Win32/AutoRun.VB.ACJ worm - cleaned by deleting - quarantined
C:\Users\微亿毫\Desktop\555\555\bbb.exe » RAR » rfw1520943.exe - a variant of Win32/TrojanDownloader.Agent.QRK trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\bbb.exe » RAR » setup3021.exe - a variant of Win32/TrojanDownloader.Delf.QEW trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 1EuroP.exe - Win32/TrojanDownloader.FakeAlert.BBT trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 2IC.exe - Win32/Olmarik.AMN trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 3E4U - Bucks.exe - a variant of Win32/Kryptik.NIS trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » 6tbp.exe - Win32/Cimag.DU trojan - was a part of the deleted object
C:\Users\微亿毫\Desktop\555\555\ddd.exe » NSIS » rich.exe - Win32/Bamital.FA trojan - was a part of the deleted object

显示全部楼层 · 发表于 2011-5-15 15:01:27

本帖最后由 liulangzhecgr 于 2011-5-16 08:38 编辑

1.tdss.tdl4;
2.修改winlogon.exe;
3.修改explorer.exe;
4.autorun.inf

显示全部楼层 · 发表于 2011-5-15 23:49:53

2011-05-15 23:40:58 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:40:59 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:00 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:01 创建注册表值    操作:阻止
进程路径:F:\virus\555\555\eee.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistryTools
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Policies\System

2011-05-15 23:41:04 创建注册表值    操作:允许
进程路径:F:\virus\555\555\eee.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:vveyswcr
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-05-15 23:41:04 修改注册表内容    操作:阻止
进程路径:F:\virus\555\555\eee.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
更改后:Explorer.exe "F:\virus\555\555\eee.exe"
更改前:Explorer.exe
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

2011-05-15 23:41:04 创建注册表值    操作:允许
进程路径:F:\virus\555\555\eee.exe
注册表路径:HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:[Key]
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-05-15 23:41:04 创建注册表值    操作:允许
进程路径:F:\virus\555\555\eee.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-05-15 23:41:04 创建注册表值    操作:允许
进程路径:F:\virus\555\555\eee.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-05-15 23:41:04 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:C:\windows\schost.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-05-15 23:41:06 运行应用程序    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:C:\WINDOWS\system32\ntvdm.exe
命令行:-f -i3 -o
触发规则:所有程序规则->系统程序设置->%windir%\system32\ntvdm.exe

2011-05-15 23:41:07 访问物理内存    操作:允许
进程路径:C:\WINDOWS\system32\ntvdm.exe
物理内存:\Device\PhysicalMemory
触发规则:应用程序规则->系统程序->%windir%\system32\ntvdm.exe

2011-05-15 23:41:12 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:14 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:15 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:15 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:C:\windows\Peterporn_scandal_seks_video.mpg'.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-05-15 23:41:19 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:21 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:22 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:22 创建文件    操作:阻止
进程路径:F:\virus\555\555\eee.exe
文件路径:C:\Documents and Settings\All Users\Start Menu\Programs\Startup\tskmgr.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.exe

2011-05-15 23:41:23 创建文件    操作:阻止
进程路径:F:\virus\555\555\eee.exe
文件路径:C:\Documents and Settings\All Users\Start Menu\Programs\Startup\tskmgr.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.exe

2011-05-15 23:41:23 创建文件    操作:阻止
进程路径:F:\virus\555\555\eee.exe
文件路径:C:\Documents and Settings\All Users\Start Menu\Programs\Startup\tskmgr.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.exe

2011-05-15 23:41:25 创建文件    操作:允许
进程路径:C:\WINDOWS\Peterporn_scandal_seks_video.mpg'.exe
文件路径:C:\windows\date
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-05-15 23:41:26 创建文件    操作:允许
进程路径:C:\WINDOWS\Peterporn_scandal_seks_video.mpg'.exe
文件路径:C:\windows\sh.php
触发规则:所有程序规则->文件创建设置_普通模式->*.php

2011-05-15 23:41:26 创建文件    操作:允许
进程路径:C:\WINDOWS\Peterporn_scandal_seks_video.mpg'.exe
文件路径:F:\virus\555\555\Peterporn_scandal_seks_video.mpg'.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-05-15 23:41:27 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\Peterporn_scandal_seks_video.mpg'.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistryTools
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Policies\System

2011-05-15 23:41:27 创建注册表值    操作:阻止并结束进程
进程路径:C:\WINDOWS\Peterporn_scandal_seks_video.mpg'.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:w
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-05-15 23:41:27 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\Peterporn_scandal_seks_video.mpg'.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Shell
更改后:Explorer.exe "c:\windows\Peterporn_scandal_seks_video.mpg'.exe"
更改前:Explorer.exe
触发规则:应用程序规则->WinLogon设置->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

2011-05-15 23:41:32 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:36 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:38 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:39 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\$hf_mig$\Point_Blank_Cheat.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:42 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:44 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:45 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:47 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\addins\Facebook_Texas_Holdem_Poker_Cheat.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:51 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:53 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:54 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:56 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\AppPatch\nude_indo_girl.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:57 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:41:59 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:00 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:02 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\Config\full_story.gp3.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:03 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:05 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:07 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:08 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\Connection Wizard\full_story.doc.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:14 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:16 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:17 修改文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\eee.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

2011-05-15 23:42:20 创建文件    操作:允许
进程路径:F:\virus\555\555\eee.exe
文件路径:F:\virus\555\555\Cursors\full_story.doc.exe
触发规则:应用程序规则->其它文件设置->F:\*->F:\*.exe

显示全部楼层 · 发表于 2011-5-15 23:54:09

2011-05-15 23:49:36 运行应用程序    操作:允许
进程路径:F:\virus\555\555\ddd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\ep.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-15 23:49:37 运行应用程序    操作:允许
进程路径:F:\virus\555\555\ddd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\1EuroP.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-15 23:49:37 运行应用程序    操作:允许
进程路径:F:\virus\555\555\ddd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\2IC.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-15 23:49:38 运行应用程序    操作:允许
进程路径:F:\virus\555\555\ddd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\3E4U - Bucks.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-15 23:49:39 运行应用程序    操作:允许
进程路径:F:\virus\555\555\ddd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\6tbp.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-15 23:49:39 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\system32\spoolsv.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers
注册表名称:Order
更改后:LanMan Print Services
触发规则:应用程序规则->系统程序->%windir%\system32\spoolsv.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Print\Providers

2011-05-15 23:49:40 运行应用程序    操作:允许
进程路径:F:\virus\555\555\ddd.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\rich.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-05-15 23:49:41 创建文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\2IC.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\setup2355213312.exe.manifest
触发规则:应用程序规则->Temp临时文件夹设置->*\Temp\*->*\Temp\*.exe.manifest

2011-05-15 23:49:47 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\rich.exe
文件路径:C:\Documents and Settings\All Users\Documents\b.dll
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*.dll

2011-05-15 23:49:47 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\system32\spoolsv.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Providers
注册表名称:Order
更改后:LanMan Print Services
触发规则:应用程序规则->系统程序->%windir%\system32\spoolsv.exe->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Print\Providers

2011-05-15 23:49:48 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\6tbp.exe
文件路径:C:\WINDOWS\sjgwmp.dll
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%windir%\*

2011-05-15 23:49:48 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\6tbp.exe
文件路径:C:\WINDOWS\sjgwmp.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.dll

2011-05-15 23:49:48 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\6tbp.exe
文件路径:C:\WINDOWS\sjgwmp.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.dll

2011-05-15 23:49:51 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\1EuroP.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/q /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zkv..bat" > nul 2> nul
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-05-15 23:49:54 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\nsx1C.tmp\6tbp.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行: "C:\WINDOWS\sjgwmp.dll",Startup
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-05-15 23:49:58 加载库文件    操作:允许
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\sjgwmp.dll
触发规则:应用程序规则->加载库文件阻止设置(三)->%SystemDrive%\*->%windir%\*

2011-05-15 23:49:58 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Thudexofip
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2011-05-15 23:50:29 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\WINDOWS\sjgwmp.dll",iep
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%windir%\system32\rundll32.exe

2011-05-15 23:50:49 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\WINDOWS\sjgwmp.dll",iep
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->%windir%\system32\rundll32.exe

显示全部楼层 · 发表于 2011-5-16 00:42:28

avast清空

[病毒样本] 小病毒 110515 密码：1

评分

评分

评分