“而且是调用services进程在注册表添加服务项的”
services进程本身就是干这个的
注册服务 都是由他来做  你运行个别的病毒试试  那是services本身的职责~~

那么简单就好了 我已经说了 它的DLL注入了系统进程瑞星没反应  所以光看HIPS拦的不够

文件信息
文件名称 :  ms.exe
文件大小 :  73243 byte
文件类型 :  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :  67dc62418c5554035c3158095fc79c75
SHA1 :  5b0a4eb27b0b513f273041a28b5c908152a3d81b

一般来说

不容易有人能将这病毒的进行反汇编告诉你它要做的详细事的

至少我不会

估计会的人也没时间详细反汇编出来告诉你

我只是想知道这DLL 怎么注入进去了瑞星还没反应的  系统进程保护摆着看的..........    卡卡进程管理还都是安全进程

问题就是怎么注入的那过程，可能需要反汇编才能知道它注入时用的方式

不是空运行运行就能知道的。

这里附上运行前后的扫描日志，还有这几个行为防御规则有提示，点拒绝但卡机了，360有提示增加启动项、服务项（注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovtjkk[ovtjkk]内容：C:\Windows\System32\ykzkjy.dll)附上病毒释放的文件，剩下的高手们解决下，现在系统比较慢，我是局域网有ARP欺骗

所有添加服务的动作 都是调用services.exe的 这不是该病毒的“特色”
标准的服务创建过程 是先调用OpenSCManagerA函数打开服务控制器也就是services.exe
之后 调用CreateService函数 创建服务
这个过程就是由services.exe完成的
下面是这个病毒 的创建服务时候的代码

1000A74F    68 3F000F00    push    0F003F
1000A754    6A 00          push    0
1000A756    6A 00          push    0
1000A758    FF15 58200110  call    dword ptr [10012058]            ; ADVAPI32.OpenSCManagerA; 打开服务控制器
1000A75E    8985 F8FEFFFF  mov    dword ptr [ebp-108], eax
1000A764    83BD F8FEFFFF 0>cmp    dword ptr [ebp-108], 0
1000A76B    75 08          jnz    short 1000A775
1000A76D    83C8 FF        or      eax, FFFFFFFF
1000A770    E9 AD000000    jmp    1000A822
1000A775    C685 FCFEFFFF 0>mov    byte ptr [ebp-104], 0
1000A77C    B9 40000000    mov    ecx, 40
1000A781    33C0            xor    eax, eax
1000A783    8DBD FDFEFFFF  lea    edi, dword ptr [ebp-103]
1000A789    F3:AB          rep    stos dword ptr es:[edi]
1000A78B    66:AB          stos    word ptr es:[edi]
1000A78D    AA              stos    byte ptr es:[edi]
1000A78E    68 C8000000    push    0C8
1000A793    8D85 FCFEFFFF  lea    eax, dword ptr [ebp-104]
1000A799    50              push    eax
1000A79A    FF15 E0210110  call    dword ptr [100121E0]            ; kernel32.GetSystemDirectoryA
1000A7A0    68 50370110    push    10013750                        ; ASCII "\svchost.exe -k "
1000A7A5    8D8D FCFEFFFF  lea    ecx, dword ptr [ebp-104]
1000A7AB    51              push    ecx
1000A7AC    FF15 00220110  call    dword ptr [10012200]            ; kernel32.lstrcatA
1000A7B2    8B55 08        mov    edx, dword ptr [ebp+8]
1000A7B5    52              push    edx
1000A7B6    8D85 FCFEFFFF  lea    eax, dword ptr [ebp-104]
1000A7BC    50              push    eax
1000A7BD    FF15 00220110  call    dword ptr [10012200]            ; kernel32.lstrcatA  ；拼串的过程
1000A7C3    6A 00          push    0
1000A7C5    6A 00          push    0
1000A7C7    6A 00          push    0
1000A7C9    6A 00          push    0
1000A7CB    6A 00          push    0
1000A7CD    8D8D FCFEFFFF  lea    ecx, dword ptr [ebp-104]
1000A7D3    51              push    ecx
1000A7D4    6A 01          push    1
1000A7D6    6A 02          push    2
1000A7D8    68 10010000    push    110
1000A7DD    68 FF010F00    push    0F01FF
1000A7E2    8B55 0C        mov    edx, dword ptr [ebp+C]
1000A7E5    52              push    edx
1000A7E6    8B45 08        mov    eax, dword ptr [ebp+8]
1000A7E9    50              push    eax
1000A7EA    8B8D F8FEFFFF  mov    ecx, dword ptr [ebp-108]
1000A7F0    51              push    ecx
1000A7F1    FF15 04200110  call    dword ptr [10012004]            ; ADVAPI32.CreateServiceA; 创建一个以svchost.exe为宿主的进程

释放文件：
C:\windows\system32\00053d8a.ini（随机名）
C:\windows\system32\bzdohe.dll（随机名）

改写注册表：
在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\分支添加：ovtjkk
在HKLM\System\CurrentControlSet\Services\分支添加： ovtjkk。而此ovtjkk\Parameters\\ServiceDll指向C:\windows\system32\bzdohe.dll
开启一个svchost.exe进程，那个病毒dll就活了。

病毒文件及其注册表项均可用IceSword删除。

那么从这里看出来编辑注册表规则对它没有效果 
  而且我编了一条防注入svchost  但它还是注入进去了  不理解中...............
团队给条漂亮的规则把它搞死