关于 sysanti.exe 病毒手工处理意见

冰轮

学校最近流行开了一种小病毒， 。
附件为病毒样本，下载后果自负，本人不负责处理。
这个病毒最初还一般般，如果建立免疫文件夹AutoRun.inf和SysAnti.exe，你的U盘就可以全身而退。
无奈，悲催的发现，最近这个病毒进化了，估计是作者知道现在的U盘基本没有NTFS的，所以直接重命名U盘里的免疫文件夹AutoRun.inf为其他名字。不过，貌似作者只想到了大家会建立autorun.inf免疫文件夹，没想到有人会建立 sysanti.exe免疫文件夹，所以，现在还是可以建立sysanti.exe来防止病毒进驻的。
2楼为病毒跟踪日志文件，我试了好几个跟踪程序，貌似编这个病毒的孩子用了反调试代码，还有会关闭部分敏感窗口。我试了好几个最终才导出一份有用的日志。
手工处理意见：
网上的那一大堆，动不动就说安全模式下怎么怎么地，烦死了。
这个病毒可以在正常系统模式下进行处理，而且目前来看也很好找。
该病毒不屏蔽任务管理器。我的方法非常大众化。大家只需要打开任务管理器，结束用户名为 管理员的 svchost.exe即可
这个病毒所谓的不好处理也就是这里了。其他没啥。一般懒人装的系统，管理员名字一般都是  Administrator  .
任务管理器关了  用户名为administrator的svchost.exe就算完成了一大半。
文件呢，网上都说了， C:\Program Files\Common Files\SysAnti.exe 这个病毒就放在这里，是采用替换的方式进行复制的。删掉即可。
然后就是其他各个盘符根目录下的病毒文件。
在接下来大家都会了，怕删不干净是吧，下个杀毒软件，杀杀杀！
我反正是不愿意看那些病毒跟踪程序的日志，如果有兴趣的话看2 楼跟踪日志。根据日志，有好事的做个专杀也好，放上来方便大家。
（神马，病毒又运行了？往下看）


关于处理U盘病毒的基本常识：
首先是文件夹选项里显示隐藏系统文件之类的
下一个是关闭   shellhwdetection服务，这个服务一关，所有autorun.inf文件就鸟了。
如果有软件限制策略，可以设置根目录可执行文件禁止启动。

------------------------------------------2011-5-28 根据版规，删除样本附件。---------------------------------------------------------
版规链接http://bbs.kafan.cn/thread-992158-1-1.html

冰轮

申请内存操作,申请地址为：0x15c000,成功标志：成功
申请内存操作,申请地址为：0x910000,成功标志：成功
申请内存操作,申请地址为：0x910000,成功标志：成功
申请内存操作,申请地址为：0x911000,成功标志：成功
申请内存操作,申请地址为：0x913000,成功标志：成功
申请内存操作,申请地址为：0x15d000,成功标志：成功
申请内存操作,申请地址为：0x15e000,成功标志：成功
申请内存操作,申请地址为：0x160000,成功标志：成功
申请内存操作,申请地址为：0x161000,成功标志：成功
申请内存操作,申请地址为：0x162000,成功标志：成功
申请内存操作,申请地址为：0x163000,成功标志：成功
申请内存操作,申请地址为：0x920000,成功标志：成功
申请内存操作,申请地址为：0x165000,成功标志：成功
打开文件：C:\SysAnti.exe
打开文件：C:\SysAnti.exe
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x0,读入字节数：64,成功标志：成功
设置文件游标操作：文件路径是：C:\SysAnti.exe,位置是：256,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x100,读入字节数：248,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x1f8,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x220,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x248,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x270,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x298,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x2c0,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x2e8,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x310,读入字节数：40,成功标志：成功
申请内存操作,申请地址为：0x167000,成功标志：成功
读文件操作：路径是：C:\SysAnti.exe,文件游标位置是：0x0,读入字节数：94720,成功标志：成功
打开文件：C:\WINDOWS\Fonts\fgtoh.fon
写文件操作：路径是：C:\WINDOWS\Fonts\fgtoh.fon,文件游标位置是：0x0,写入字节数：31744,成功标志：成功
打开文件：C:\WINDOWS\AppPatch\sysmain.sdb
打开文件：C:\WINDOWS\system32\rundll32.exe
打开文件：C:\WINDOWS\system32\rundll32.exe
申请内存操作,申请地址为：0x930000,成功标志：成功
申请内存操作,申请地址为：0x930000,成功标志：成功
读内存操作,地址为：0x7ffdd008,数据为：0x12EAF0,读取4字节,成功标志：失败
读内存操作,地址为：0x1000000,数据为：婍?,读取4096字节,成功标志：成功
读内存操作,地址为：0x1004000,数据为：,读取256字节,成功标志：成功
申请内存操作,申请地址为：0x940000,成功标志：成功
申请内存操作,申请地址为：0x10000,成功标志：成功
写内存操作,地址为：0x10000,数据为：=C:=C:\Documents and Settings\Administrator\桌面\VirusMonitor-3,写入2140字节,成功标志：失败
申请内存操作,申请地址为：0x20000,成功标志：成功
写内存操作,地址为：0x20000,数据为：?,写入1864字节,成功标志：失败
写内存操作,地址为：0x7ffdd010,数据为：0x12E5AC,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x30000,成功标志：成功
写内存操作,地址为：0x30000,数据为：ShimEng.dll,写入388字节,成功标志：失败
写内存操作,地址为：0x7ffdd1e8,数据为：0x12E5A8,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x40000,成功标志：成功
申请内存操作,申请地址为：0x73000,成功标志：成功
申请内存操作,申请地址为：0x3f3000,成功标志：成功
申请内存操作,申请地址为：0x9d0000,成功标志：成功
申请内存操作,申请地址为：0x9d0000,成功标志：成功
申请内存操作,申请地址为：0x9e2000,成功标志：成功
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
申请内存操作,申请地址为：0x3c4000,成功标志：成功
申请内存操作,申请地址为：0xa0e000,成功标志：成功
申请内存操作,申请地址为：0xa1f000,成功标志：成功
申请内存操作,申请地址为：0xad0000,成功标志：成功
申请内存操作,申请地址为：0xad0000,成功标志：成功
申请内存操作,申请地址为：0x17f000,成功标志：成功
申请内存操作,申请地址为：0xaa000,成功标志：成功
申请内存操作,申请地址为：0xab000,成功标志：成功
申请内存操作,申请地址为：0xac0000,成功标志：成功
申请内存操作,申请地址为：0xac0000,成功标志：成功
申请内存操作,申请地址为：0xac4000,成功标志：成功
申请内存操作,申请地址为：0x34000,成功标志：成功
申请内存操作,申请地址为：0xad000,成功标志：成功
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
打开文件：C:\WINDOWS\Fonts\chdh.fon
写文件操作：路径是：C:\WINDOWS\Fonts\chdh.fon,文件游标位置是：0x0,写入字节数：5632,成功标志：成功
进程PID为：1588,路径为：C:\WINDOWS\System32\Rundll32.exe,加载了路径为："C:\WINDOWS\Fonts\chdh.fon"的驱动,成功标志：成功
设置文件属性操作：路径是：C:\WINDOWS\Fonts\chdh.fon,属性是：正常
删除文件操作：文件路径是：C:\WINDOWS\Fonts\chdh.fon,成功标志：成功
进程PID为：1588,路径为：C:\WINDOWS\System32\Rundll32.exe,退出了程序
启动进程。路径是：C:\WINDOWS\System32\Rundll32.exe,命令行是：C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\Fonts\fgtoh.fon",MyKILLEntry,PID是：1588,父进程PID是：452
打开文件：C:\Program Files\Common Files\SysAnti.exe
设置文件属性操作：路径是：C:\Program Files\Common Files\SysAnti.exe,属性是：正常
设置文件属性操作：路径是：C:\Program Files\Common Files\SysAnti.exe,属性是：正常
删除文件操作：文件路径是：C:\Program Files\Common Files\SysAnti.exe,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
注册表操作：设置值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache",值是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files,属性是：正常
注册表操作：设置值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory",值是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
注册表操作：设置键值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Paths",值是：4
注册表操作：设置值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath",值是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache1
注册表操作：设置值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath",值是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache2
注册表操作：设置值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath",值是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache3
注册表操作：设置值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath",值是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache4
注册表操作：设置键值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit",值是：160022
注册表操作：设置键值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CacheLimit",值是：160022
注册表操作：设置键值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CacheLimit",值是：160022
注册表操作：设置键值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CacheLimit",值是：160022
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
注册表操作：设置值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies",值是：C:\Documents and Settings\Administrator\Cookies
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
注册表操作：设置值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History",值是：C:\Documents and Settings\Administrator\Local Settings\History
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\History,属性是：正常
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5,属性是：正常
打开文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat,属性是：正常
打开文件：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Cookies,属性是：正常
打开文件：C:\Documents and Settings\Administrator\Cookies\index.dat
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Cookies\index.dat,属性是：正常
打开文件：C:\Documents and Settings\Administrator\Cookies\index.dat
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5,属性是：正常
打开文件：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat,属性是：正常
打开文件：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5,属性是：正常
设置文件属性操作：路径是：C:\Documents and Settings\Administrator\Local Settings\History\History.IE5,属性是：正常
申请内存操作,申请地址为：0x181000,成功标志：成功
申请内存操作,申请地址为：0x182000,成功标志：成功
申请内存操作,申请地址为：0x183000,成功标志：成功
申请内存操作,申请地址为：0x184000,成功标志：成功
申请内存操作,申请地址为：0x185000,成功标志：成功
申请内存操作,申请地址为：0x186000,成功标志：成功
申请内存操作,申请地址为：0x187000,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\MACHINE\Software\Microsoft\Tracing"
申请内存操作,申请地址为：0xb50000,成功标志：成功
申请内存操作,申请地址为：0xb50000,成功标志：成功
申请内存操作,申请地址为：0xb51000,成功标志：成功
申请内存操作,申请地址为：0xb53000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0xb60000,成功标志：成功
申请内存操作,申请地址为：0x189000,成功标志：成功
申请内存操作,申请地址为：0x18a000,成功标志：成功
申请内存操作,申请地址为：0x18c000,成功标志：成功
申请内存操作,申请地址为：0x18e000,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
申请内存操作,申请地址为：0xb70000,成功标志：成功
申请内存操作,申请地址为：0x193000,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
申请内存操作,申请地址为：0x195000,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
注册表操作：设置值,路径是："\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData",值是：C:\Documents and Settings\All Users\Application Data
打开文件：C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk
读文件操作：路径是：C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk,文件游标位置是：0x0,读入字节数：2048,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"
申请内存操作,申请地址为：0xb70000,成功标志：成功
申请内存操作,申请地址为：0x197000,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
申请内存操作,申请地址为：0x199000,成功标志：成功
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
注册表操作：设置值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData",值是：C:\Documents and Settings\Administrator\Application Data
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\windows\CurrentVersion\Internet Settings"
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy",值是：1
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections"
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections"
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\windows\CurrentVersion\Internet Settings"
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable",值是：0
注册表操作：删除键值，路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer"
注册表操作：删除键值，路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride"
注册表操作：删除键值，路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL"
注册表操作：创建项,路径是："\REGISTRY\MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings"
注册表操作：设置键值,路径是："\REGISTRY\MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable",值是：0
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections"
注册表操作：创建项,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections"
注册表操作：设置项值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections",值是：SavedLegacySettings
申请内存操作,申请地址为：0xb70000,成功标志：成功
申请内存操作,申请地址为：0xb70000,成功标志：成功
申请内存操作,申请地址为：0xb71000,成功标志：成功
申请内存操作,申请地址为：0xb73000,成功标志：成功
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass",值是：1
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName",值是：1
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet",值是：1
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass",值是：1
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName",值是：1
注册表操作：设置键值,路径是："\REGISTRY\USER\S-1-5-21-682003330-484061587-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet",值是：1
注册表操作：创建项,路径是："\REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters"
注册表操作：创建项,路径是："\REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters"
注册表操作：创建项,路径是："\REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters"
打开文件：C:\SysAnti.exe
打开文件：C:\Program Files\Common Files\SysAnti.exe
写文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x0,写入字节数：65536,成功标志：成功
写文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x10000,写入字节数：29184,成功标志：成功
设置文件属性操作：路径是：C:\Program Files\Common Files\SysAnti.exe,属性是：正常
复制文件操作：原文件路径是：C:,目标路径是：C:\Program Files\Common Files\SysAnti.exe,成功标志：成功
设置文件属性操作：路径是：C:\Program Files\Common Files\SysAnti.exe,属性是：正常
读内存操作,地址为：0x7ffdb008,数据为：0x12EB28,读取4字节,成功标志：失败
读内存操作,地址为：0x400000,数据为：婍P,读取4096字节,成功标志：成功
读内存操作,地址为：0x41b000,数据为：,读取256字节,成功标志：成功
申请内存操作,申请地址为：0xba0000,成功标志：成功
申请内存操作,申请地址为：0x10000,成功标志：成功
写内存操作,地址为：0x10000,数据为：=C:=C:\Documents and Settings\Administrator\桌面\VirusMonitor-3,写入2140字节,成功标志：失败
申请内存操作,申请地址为：0x20000,成功标志：成功
写内存操作,地址为：0x20000,数据为：?,写入1868字节,成功标志：失败
写内存操作,地址为：0x7ffdb010,数据为：0x12E5E4,写入4字节,成功标志：失败
写内存操作,地址为：0x7ffdb1e8,数据为：0x12E5E0,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x30000,成功标志：成功
申请内存操作,申请地址为：0x12b000,成功标志：成功
申请内存操作,申请地址为：0x3c5000,成功标志：成功
申请内存操作,申请地址为：0x15c000,成功标志：成功
申请内存操作,申请地址为：0x910000,成功标志：成功
申请内存操作,申请地址为：0x910000,成功标志：成功
申请内存操作,申请地址为：0x911000,成功标志：成功
申请内存操作,申请地址为：0x913000,成功标志：成功
申请内存操作,申请地址为：0x15d000,成功标志：成功
申请内存操作,申请地址为：0x15e000,成功标志：成功
申请内存操作,申请地址为：0x160000,成功标志：成功
申请内存操作,申请地址为：0x161000,成功标志：成功
申请内存操作,申请地址为：0x162000,成功标志：成功
申请内存操作,申请地址为：0x163000,成功标志：成功
申请内存操作,申请地址为：0x920000,成功标志：成功
申请内存操作,申请地址为：0x165000,成功标志：成功
打开文件：C:\Program Files\Common Files\SysAnti.exe
打开文件：C:\Program Files\Common Files\SysAnti.exe
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x0,读入字节数：64,成功标志：成功
设置文件游标操作：文件路径是：C:\Program Files\Common Files\SysAnti.exe,位置是：256,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x100,读入字节数：248,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x1f8,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x220,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x248,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x270,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x298,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x2c0,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x2e8,读入字节数：40,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x310,读入字节数：40,成功标志：成功
申请内存操作,申请地址为：0x167000,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x0,读入字节数：94720,成功标志：成功
打开文件：C:\WINDOWS\Fonts\rxtrh.fon
写文件操作：路径是：C:\WINDOWS\Fonts\rxtrh.fon,文件游标位置是：0x0,写入字节数：31744,成功标志：成功
打开文件：C:\WINDOWS\AppPatch\sysmain.sdb
打开文件：C:\WINDOWS\system32\rundll32.exe
打开文件：C:\WINDOWS\system32\rundll32.exe
申请内存操作,申请地址为：0x930000,成功标志：成功
申请内存操作,申请地址为：0x930000,成功标志：成功
读内存操作,地址为：0x7ffdf008,数据为：0x12EAF0,读取4字节,成功标志：失败
读内存操作,地址为：0x1000000,数据为：婍?,读取4096字节,成功标志：成功
读内存操作,地址为：0x1004000,数据为：,读取256字节,成功标志：成功
申请内存操作,申请地址为：0x940000,成功标志：成功
申请内存操作,申请地址为：0x10000,成功标志：成功
写内存操作,地址为：0x10000,数据为：=C:=C:\Documents and Settings\Administrator\桌面\VirusMonitor-3,写入2140字节,成功标志：失败
申请内存操作,申请地址为：0x20000,成功标志：成功
写内存操作,地址为：0x20000,数据为：?,写入1864字节,成功标志：失败
写内存操作,地址为：0x7ffdf010,数据为：0x12E5AC,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x30000,成功标志：成功
写内存操作,地址为：0x30000,数据为：ShimEng.dll,写入388字节,成功标志：失败
写内存操作,地址为：0x7ffdf1e8,数据为：0x12E5A8,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x40000,成功标志：成功
申请内存操作,申请地址为：0x73000,成功标志：成功
申请内存操作,申请地址为：0x3f3000,成功标志：成功
申请内存操作,申请地址为：0x9d0000,成功标志：成功
申请内存操作,申请地址为：0x9d0000,成功标志：成功
申请内存操作,申请地址为：0x9e2000,成功标志：成功
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
申请内存操作,申请地址为：0x3c4000,成功标志：成功
申请内存操作,申请地址为：0xa0e000,成功标志：成功
申请内存操作,申请地址为：0xa1f000,成功标志：成功
申请内存操作,申请地址为：0xad0000,成功标志：成功
申请内存操作,申请地址为：0xad0000,成功标志：成功
申请内存操作,申请地址为：0x17f000,成功标志：成功
申请内存操作,申请地址为：0xaa000,成功标志：成功
申请内存操作,申请地址为：0xab000,成功标志：成功
申请内存操作,申请地址为：0xac0000,成功标志：成功
申请内存操作,申请地址为：0xac0000,成功标志：成功
申请内存操作,申请地址为：0xac4000,成功标志：成功
申请内存操作,申请地址为：0x34000,成功标志：成功
申请内存操作,申请地址为：0xad000,成功标志：成功
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
打开文件：C:\WINDOWS\system32\MSCTFIME.IME
打开文件：C:\WINDOWS\Fonts\pbqt.fon
写文件操作：路径是：C:\WINDOWS\Fonts\pbqt.fon,文件游标位置是：0x0,写入字节数：5632,成功标志：成功
进程PID为：188,路径为：C:\WINDOWS\System32\Rundll32.exe,加载了路径为："C:\WINDOWS\Fonts\pbqt.fon"的驱动,成功标志：成功
设置文件属性操作：路径是：C:\WINDOWS\Fonts\pbqt.fon,属性是：正常
删除文件操作：文件路径是：C:\WINDOWS\Fonts\pbqt.fon,成功标志：成功
进程PID为：188,路径为：C:\WINDOWS\System32\Rundll32.exe,退出了程序
启动进程。路径是：C:\WINDOWS\System32\Rundll32.exe,命令行是：C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\Fonts\rxtrh.fon",MyKILLEntry,PID是：188,父进程PID是：1020
打开文件：C:\Program Files\Common Files\SysAnti.exe
申请内存操作,申请地址为：0x181000,成功标志：成功
读文件操作：路径是：C:\Program Files\Common Files\SysAnti.exe,文件游标位置是：0x0,读入字节数：94720,成功标志：成功
申请内存操作,申请地址为：0x990000,成功标志：成功
打开文件：C:\WINDOWS\AppPatch\sysmain.sdb
打开文件：C:\WINDOWS\system32\svchost.exe
打开文件：C:\WINDOWS\system32\svchost.exe
读内存操作,地址为：0x7ffd5008,数据为：0x12E900,读取4字节,成功标志：失败
读内存操作,地址为：0x1000000,数据为：婍?,读取4096字节,成功标志：成功
读内存操作,地址为：0x1005000,数据为：,读取256字节,成功标志：成功
申请内存操作,申请地址为：0x9b0000,成功标志：成功
申请内存操作,申请地址为：0x10000,成功标志：成功
写内存操作,地址为：0x10000,数据为：=C:=C:\Documents and Settings\Administrator\桌面\VirusMonitor-3,写入2140字节,成功标志：失败
申请内存操作,申请地址为：0x20000,成功标志：成功
写内存操作,地址为：0x20000,数据为：?,写入1772字节,成功标志：失败
写内存操作,地址为：0x7ffd5010,数据为：0x12E3BC,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x30000,成功标志：成功
写内存操作,地址为：0x30000,数据为：ShimEng.dll,写入388字节,成功标志：失败
写内存操作,地址为：0x7ffd51e8,数据为：0x12E3B8,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x40000,成功标志：成功
申请内存操作,申请地址为：0x7b000,成功标志：成功
进程PID为：1108,路径为：C:\WINDOWS\System32\Svchost.exe,退出了程序
启动进程。路径是：C:\WINDOWS\System32\Svchost.exe,命令行是：C:\WINDOWS\System32\Svchost.exe,PID是：1108,父进程PID是：1020
读内存操作,地址为：0x7,数据为：???¨,读取0字节,成功标志：成功
申请内存操作,申请地址为：0x0,成功标志：成功
进程PID为1020,路径是："C:\Program Files\Common Files\SysAnti.exe"终止进程PID为1108,路径为："?=粓"的进程
进程PID为：1020,路径为：C:\Program Files\Common Files\SysAnti.exe,退出了程序
启动进程。路径是：C:\Program,命令行是：C:\Program Files\Common Files\SysAnti.exe -One,PID是：1020,父进程PID是：452
申请内存操作,申请地址为：0xc40000,成功标志：成功
申请内存操作,申请地址为：0xc40000,成功标志：成功
打开文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~fgt.tmp
写文件操作：路径是：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~fgt.tmp,文件游标位置是：0x0,写入字节数：8256,成功标志：成功
进程PID为：452,路径为：c:\sysanti.exe,加载了路径为："C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~fgt.tmp"的驱动,成功标志：成功
删除文件操作：文件路径是：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~fgt.tmp,成功标志：成功
打开文件：C:\WINDOWS\AppPatch\sysmain.sdb
打开文件：C:\WINDOWS\system32\cmd.exe
打开文件：C:\WINDOWS\system32\cmd.exe
读内存操作,地址为：0x7ffdb008,数据为：0x12EB2C,读取4字节,成功标志：失败
读内存操作,地址为：0x4ad00000,数据为：婍?,读取4096字节,成功标志：成功
读内存操作,地址为：0x4ad3e000,数据为：,读取256字节,成功标志：成功
申请内存操作,申请地址为：0xba0000,成功标志：成功
申请内存操作,申请地址为：0x10000,成功标志：成功
写内存操作,地址为：0x10000,数据为：=C:=C:\Documents and Settings\Administrator\桌面\VirusMonitor-3,写入2140字节,成功标志：失败
申请内存操作,申请地址为：0x20000,成功标志：成功
写内存操作,地址为：0x20000,数据为：?,写入1772字节,成功标志：失败
写内存操作,地址为：0x7ffdb010,数据为：0x12E5E8,写入4字节,成功标志：失败
申请内存操作,申请地址为：0x30000,成功标志：成功
写内存操作,地址为：0x30000,数据为：ShimEng.dll,写入388字节,成功标志：失败
写内存操作,地址为：0x7ffdb1e8,数据为：0x12E5E4,写入4字节,成功标志：失败
读内存操作,地址为：0x7ffdb010,数据为：0x12EAEC,读取4字节,成功标志：失败
申请内存操作,申请地址为：0x40000,成功标志：成功
申请内存操作,申请地址为：0x40000,成功标志：成功
申请内存操作,申请地址为：0x9e0000,成功标志：成功
申请内存操作,申请地址为：0x34000,成功标志：成功
申请内存操作,申请地址为：0x16a000,成功标志：成功
申请内存操作,申请地址为：0x16b000,成功标志：成功
申请内存操作,申请地址为：0x9f0000,成功标志：成功
申请内存操作,申请地址为：0x9f0000,成功标志：成功
申请内存操作,申请地址为：0x9f0000,成功标志：成功
申请内存操作,申请地址为：0x9f0000,成功标志：成功
进程PID为：772,路径为：C:\WINDOWS\system32\cmd.exe,退出了程序
启动进程。路径是：cmd,命令行是：cmd /c erase /F "c:\sysanti.exe" > nul,PID是：772,父进程PID是：452
进程PID为：452,路径为：c:\sysanti.exe,退出了程序

nazisoft

SYSANTI是几年前的机器狗了，能够穿透PCI还原卡和一些还原软件

dtlyhan

单位电脑基本都中了，也没空清理他们，学习一下了

ezpod32432

(⊙o⊙)哦。。。先学习下。。

Markel.Scofield

对2L表示无语

瘦得孕开肩月明

下载后会自动运行？

wangshuai1989

我中的是回收站图标的，至今未解决，红伞也挂了！

liulangzhecgr

删除映像劫持,删除hosts文件!

475576063

太神奇了 没看懂日志