卡饭论坛 » HIPS专区 » EQSysSecure » 所有程序调用debug

运指如飞 发表于 2008-9-2 10:40

所有程序调用debug

不知道怎么回事

今天早上开启电脑后


几乎计算机所有程序运行都会调用debug.exe


008-09-02 10:33:47    应用程序保护已经开启.

2008-09-02 10:33:47    注册表保护已经开启.

2008-09-02 10:33:47    文件保护已经开启.

2008-09-02 10:33:47    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:47    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\System32\svchost.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:50    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:51    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:52    运行应用程序      操作:阻止
进程路径:C:\Program Files\EQsecure\EQSysSecure.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:52    运行应用程序      操作:阻止
进程路径:C:\Program Files\COMODO\Firewall\cfp.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:54    运行应用程序      操作:阻止
进程路径:C:\Program Files\COMODO\Firewall\cmdagent.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:55    运行应用程序      操作:阻止
进程路径:C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:33:59    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:34:15    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:34:17    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:34:18    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\userinit.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:31    运行应用程序      操作:阻止
进程路径:c:\program files\avira\antivir personaledition classic\avcenter.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:31    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\preupd.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:31    运行应用程序      操作:阻止
进程路径:c:\program files\avira\antivir personaledition classic\avcenter.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:31    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\preupd.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:32    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:33    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:33    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:35    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:35    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe

2008-09-02 10:36:39    运行应用程序      操作:阻止
进程路径:C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
文件路径:C:\WINDOWS\system32\debug.exe
触发规则:所有程序规则->禁止执行的系统程序->*\debug.exe


系统没有病毒


这是为什么哦，真是奇怪

九尾野狐 发表于 2008-9-2 11:09

只见过病毒调用debug.exe

把你的debug.exe放VT上扫描下看看

运指如飞 发表于 2008-9-2 11:17

[quote]原帖由 [i]没注册[/i] 于 2008-9-2 11:09 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4711153&ptid=320089][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
只见过病毒调用debug.exe

把你的debug.exe放VT上扫描下看看 [/quote]

我没有扫描，直接用同学电脑上的文件覆盖了，就好了

但是问题又来了

现在是所有程序调用ntvdm.exe

扫描完了这个属于正常的系统文件，无毒

[[i] 本帖最后由 运指如飞 于 2008-9-2 11:19 编辑 [/i]]

九尾野狐 发表于 2008-9-2 11:30

继续覆盖ntvdm.exe

iszeds 发表于 2008-9-2 11:40

学习模式跑一次,然后看日志新增了那些规则
然后把debug规则删除掉再试试

094a 发表于 2008-9-6 18:58

我用联想冰封系统（IceBound）来保护C盘测试了这机器狗，结果就出现跟楼主一样的情况，最后用专杀工具干掉（冰封系统也穿透了？[:xi42:]）
[url=http://bbs.kafan.cn/thread-318535-1-1.html]http://bbs.kafan.cn/thread-318535-1-1.html[/url]

[[i] 本帖最后由 094a 于 2008-9-6 19:01 编辑 [/i]]

doufy 发表于 2008-9-7 09:57

debug.exe病毒，我也一直在找解决办法

yzx714 发表于 2008-9-7 11:03

规则或者EQ出错？？？

运指如飞 发表于 2008-9-7 17:47

是机器狗导致的

找到了原因

peter08 发表于 2008-9-7 20:04

看来你也用了8月22那头机器狗,似乎3.41挡不住他修改DEbug.EXE

spiha 发表于 2008-9-7 20:43

*** 作者被禁止或删除 内容自动屏蔽 ***

竹节大将军 发表于 2008-9-7 21:09

有时间测试一下。

spiha 发表于 2008-9-7 22:10

*** 作者被禁止或删除 内容自动屏蔽 ***

1e3e 发表于 2008-9-7 22:29

看来病毒还是很厉害呀，eq要加油

Devy 发表于 2008-9-8 03:47

回复 11楼 spiha 的帖子

估计挂了AppInit_Dll。

竹节大将军 发表于 2008-9-8 05:22

确实挡不住机器狗修改DEbug.EXE，即使有提示并选择了阻止，仍然被改。准备和猪说一下。

yjwfdc 发表于 2008-9-8 10:16

[quote]原帖由 [i]竹节大将军[/i] 于 2008-9-8 05:22 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4770109&ptid=320089][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
确实挡不住机器狗修改DEbug.EXE，即使有提示并选择了阻止，仍然被改。准备和猪说一下。 [/quote]

我用4月14日版可以阻止修改debug.exe
全部阻止，系统正常。

如果给机器狗加载了驱动，就没法说了。

yjwfdc 发表于 2008-9-9 15:33

现在发现，debug.exe没有被改，但重启后，运行大部分exe文件都会先运行debug.exe.

可能是注册表被改了，但找了一下午都找不到什么地方被改。

反汇编高手看来要出场了，看是什么地方改了。

查看完整版本: 所有程序调用debug