开启监控项

样本稍后附上

运行样本RS提示访问CMD。一旦允许程序错误
因为是实机测试所以没有图
附上样本不妨自己测试
感染性样本
来自测试群的一个人
由他开发
测试日记附上
日记来自卡饭
2009-6-27 13:56:14    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\__tmp_rar_sfx_access_check_281437
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\local.stat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\Comdlg32.ocx
规则: [文件组]阻止 -> [文件]c:\*; *.ocx

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\Comdlg32.ocx
规则: [文件组]阻止 -> [文件]c:\*; *.ocx

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XH1.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XH1.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHkill.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHkill.dll
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHKILLR.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHKILLR.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHMain.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:16    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\XHMain.exe
规则: [文件组]阻止 -> [文件]c:\program files\*; *.exe

2009-6-27 13:56:18    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\local.stat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2009-6-27 13:56:18    创建文件    阻止
进程: c:\program files\小孩一号\小孩一号.exe
目标: C:\Program Files\C;\local.stat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*
2009-06-27 14:51:04        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHMain.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im taskmgr.exe

2009-06-27 14:51:09        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHMain.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c date 2000-01-08

2009-06-27 14:52:03        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHMain.exe
文件路径:C:\WINDOWS\system32\shutdown.exe
命令行:-r -t 0
XHKILLR.exe运行后

2009-06-27 14:50:04        应用程序保护(运行应用程序)   
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im taskmgr.exe

2009-06-27 14:50:10        应用程序保护(加载库文件)   
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:E:\KIA\小孩一号\XHkill.dll

2009-06-27 14:50:30        文件保护(创建文件) 
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\Program Files\Explorer++\MyProKillerTmp.sys

2009-06-27 14:50:35        应用程序保护(访问服务管理器) 
进程路径:E:\KIA\小孩一号\XHKILLR.exe

2009-06-27 14:50:40        应用程序保护(安装服务或者驱动)   
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\Program Files\Explorer++\MyProKillerTmp.sys

2009-06-27 14:50:43        文件保护(删除文件)   
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\Program Files\Explorer++\\Program Files\Explorer++\MyProKillerTmp.sys

2009-06-27 14:50:47        应用程序保护(运行应用程序) 
进程路径:E:\KIA\小孩一号\XHKILLR.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /f /im RSTRAY.EXE


XHMain.exe运行后有个界面不过行为一旦阻止就出错退出

沙盘运行了下





剩下的拦不到了。。。
原帖http://bbs.ikaka.com/showtopic-8636852.aspx
用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 551)

感谢您的反馈，我们会尽快反馈到相关部门进行检测，欢迎继续测试2010版

是群里的哪个人上报的？
报上名来

竟然擅自把别人的成果发到网上来，欺负别人的著作权啊

呃。。又是这种事。。

这个被感染的样本还是先上报一下吧