請問大大這個檔是病嗎

**yakkus** · 2008-05-05, 06:56 PM

這是我朋友,寄給我的可是他的檔名是.VBE,怪怪的,請各位大大幫我看看是不是病毒,密碼是111

**Roger** · 2008-05-06, 07:36 AM

2008-05-06 07:18:46 运行应用程序操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c set date=%date% &&date 2007-4-1 &&ping -n 50 127.0.0.1&&date %date%
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:46 修改系统时间操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\cmd.exe
更改后系统时间:2007-3-31 23:18
触发规则:所有程序规则->*

2008-05-06 07:18:56 删除注册表操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyServer
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 创建注册表值操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyServer
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 删除注册表操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyOverride
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 创建注册表值操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyOverride
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 删除注册表操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:AutoConfigURL
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 创建注册表值操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:AutoConfigURL
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 修改注册表内容操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:18:56 创建注册表值操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:19:11 创建文件操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
文件路径:C:\msn.exe
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

2008-05-06 07:19:11 创建文件操作:使用任务隔离区操作
进程路径:C:\WINDOWS\System32\WScript.exe
文件路径:C:\EQSandBox\C\msn.exe
触发规则:应用程序规则->任务隔离区->C:\WINDOWS\system32\wscript.exe

接下來，看看 msn.exe 的行為

**Roger** · 2008-05-06, 07:40 AM

就會知道你的感情表達能力、思維能力、失戀治療能力等內在玄妙了。
解釋:
１代表感情表達能力
(1個1)：你屬于固執而不懂表達感情的人，故經常暗戀人。由于你都算理智，甚少被情所傷。(2個1)：你善于表達感情，面對心儀對象，往往能大膽示愛。由于你喜怒形于色，戀愛過程亦見順利。(3個1)：你不易透露心底秘密，往往經過深思熟慮，才會將事情告知他人，所以做你的情人要有十足耐性。(4個1)：你十分敏感，情緒起伏不定，毫不掩飾自己的喜怒哀樂，容易意志消沉，需要情人不時地鼓勵。(5個1)：你極度情緒化，容易傷害別人，作為你的情人，一定要對你耐心關懷，才能彼此溝通無阻。

２代表直覺度
(1個2)：你懂得顧及別人的感受，善于洞悉別人的想法，是一個可靠的朋友!(2個2)：你善解人意，樂于助人，愛付出。對于異性來說，你的細心體貼甚具吸引力。(3個2或以上)：你的直覺一般，幸好反應能力強。你喜歡多姿多彩的生活，對神秘的愛情也心嚮往之。

３代表思維能力和想像力
(1個3)：超強的想像力令你能散發獨特的魅力，而你同時嚮往浪漫而甜蜜的戀愛。(2個3)：言行常超出常規，常胡思亂想。與愛侶相處時，經常雲遊太虛，令對方覺得無趣。(3個3或以上)：你智商很高，思維清晰，無法忍受單調的生活，若沒機會發揮才能，會變得精神緊張。

４代表行動力
(1個4)：熱情澎湃，言出必行，自信十足，你會大膽表露內心感情，性欲亦旺盛。(2個4或以上)：做人缺乏自信心，對于愛侶忠心耿耿。不會有越軌的念頭，亦期望另一半對你專心不二。

５代表意志堅定度
(1個5)：思想單純，即使情人見異思遷，你亦不會放棄，希望有守得雲開見月明的一日。(2個5)：你的意志並不堅定，容易半途而廢，往往事倍功半，想好好發揮才能，最好將精力放在創意活動上。(3個5或以上)：內心有著無法克制的熱情，做事衝動，決不會改變自己決定的事情，還要另一半聽你指示...

６代表自我價值
(1個6)：你天性敏感，喜歡被別人欣賞，只有這樣，你才能感受到自己存在的價值。(2個6)：你多愁善感，缺乏自信，伴侶對你的愛護，是你發揮才能的推動力。(3個6或以上)：你有絕對的自信心，為了令自己與眾不同，永遠全力以赴，喜歡出風頭。

７代表失戀治療能力
(1個7)：談戀愛時，你會為對方週全考慮，失戀治療能力亦強，對人歡笑，背人垂淚。(2個7)：由于你每次戀愛都很投入，故失戀時，往往傷得很深，需要向別人傾訴，才能解開心結。(3個7或以上)：你不易愛上人，但一旦戀愛，會是十分專情的情人。如果被拋棄，你會對曾經的一切念念不忘。

８代表智力和邏輯性
(1個8)：你智力一般，但邏輯性強，做事喜歡循序漸進，不喜歡預期以外的變化。(2個8或以上)：你聰明獨立，表達能力強，有決斷能力，有領導才華，做事往往得心應手。

９代表體貼度
(1個9)：你嘗試理解別人對感情的渴求，然後儘量配合。(2個9或以上)：無論智力或精力，你都非常旺盛，但缺點是經常沉醉于自己的想法中，令情人覺得你難以捉摸

**Roger** · 2008-05-06, 07:46 AM

再把 msn.exe 給解壓出來！

2008-05-06 07:42:11 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:D:\2.bat
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:11 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\EQSandBox\D\2.bat
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:31 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\WINDOWS\Debug\29124D4AA81F.dll
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\EQSandBox\C\WINDOWS\Debug\29124D4AA81F.dll
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CLASSES_ROOT\CLSID\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}
注册表名称:[Default]
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}\InProcServer32
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CLASSES_ROOT\CLSID\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}\InProcServer32
注册表名称:[Default]
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}\InProcServer32
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CLASSES_ROOT\CLSID\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}\InProcServer32
注册表名称:ThrEaDiNgModEL
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建注册表值操作:使用任务隔离区操作
进程路径:D:\2.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\WINDOWS\Debug\29124D4AA81F.exe
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\EQSandBox\C\WINDOWS\Debug\29124D4AA81F.exe
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\WINDOWS\1.bat
触发规则:应用程序规则->任务隔离区->D:\2.exe

2008-05-06 07:42:32 创建文件操作:使用任务隔离区操作
进程路径:D:\2.exe
文件路径:C:\EQSandBox\C\WINDOWS\1.bat
触发规则:应用程序规则->任务隔离区->D:\2.exe

ㄚ一 · 2008-05-06, 08:40 AM

2003/5/6 W 08:32:40 Create C:\WINDOWS\Debug\29124D4AA81F.dll Denied: KLSystemData/KLSystemFiles/SystemDll

2003/5/6 W 08:32:40 Create C:\WINDOWS\Debug\29124D4AA81F.exe Denied: KLSystemData/KLSystemFiles/SystemExe

2008/5/6 W 08:36:24 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Internet Explorer\Desktop\Components\0 Denied: KLSystemData/KLStartupRegKeys/IE_components

2008/5/6 W 08:36:24 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Internet Explorer\Desktop\Components Denied: KLSystemData/KLStartupRegKeys/IE_components

2008/5/6 W 08:36:25 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Denied: KLSystemData/KLStartupRegKeys/Common Startup

2008/5/6 W 08:36:25 Modification hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Denied: KLSystemData/KLStartupRegKeys/Common Startup

不管是自動還是交互模式全部能夠阻擋