freescan_xp_2012.zip

显示全部楼层 · 发表于 2012-12-8 13:10:03

2012-12-08 12:26:43 创建文件    操作:允许
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Local Settings\Application Data\*

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
注册表名称:EnableFirewall
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
注册表名称:DisableNotifications
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2012-12-08 12:26:43 修改注册表内容    操作:使用任务隔离区操作
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
注册表名称:Start
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2012-12-08 12:26:43 修改注册表内容    操作:阻止
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UpdatesDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center

2012-12-08 12:26:44 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Enum
注册表名称:Count
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2012-12-08 12:26:44 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Enum
注册表名称:NextInstance
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2012-12-08 12:26:44 运行应用程序    操作:允许
进程路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
命令行:-gav F:\virus\freescan_xp_2012\freescan_xp_2012.exe
触发规则:应用程序规则->程序->?:\*

2012-12-08 12:27:05 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\6o4v7yr6ikfw18072u
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Local Settings\Application Data\*

2012-12-08 12:27:05 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
文件路径:C:\Documents and Settings\All Users\Application Data\6o4v7yr6ikfw18072u
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\Documents and Settings\*\Application Data\*

2012-12-08 12:27:05 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
文件路径:C:\Documents and Settings\Administrator\Templates\6o4v7yr6ikfw18072u
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\Templates\*

2012-12-08 12:27:07 删除文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
文件路径:F:\virus\freescan_xp_2012\freescan_xp_2012.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\01\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:27:11 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\01\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:27:11 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\01\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:27:11 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\01\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:27:11 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\3a\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:37:11 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\3a\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:37:11 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\3a\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:37:11 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\3a\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:37:11 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\KY\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:47:11 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\KY\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:47:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\KY\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:47:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\KY\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:47:12 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

2012-12-08 12:57:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:11 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\fQ3\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:57:12 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\fQ3\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 12:57:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\fQ3\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:57:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\fQ3\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 12:57:12 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\h8\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 13:07:12 创建注册表值    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\h8\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 创建注册表值    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*

2012-12-08 13:07:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\h8\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 13:07:12 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_CLASSES_ROOT\h8\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command

2012-12-08 13:07:12 修改注册表内容    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\cdr.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

显示全部楼层 · 发表于 2012-12-8 13:18:05

这是一个非常神奇的流氓软件，打开后windows的安全中心开始报警，说xxx病毒防护与防火墙未驱用，接着开始扫描，扫出来一大堆所谓的病毒，开始弹窗警告让用户买激活码，打开ie后有三个选项前面两个是买key，追后一个是不买，如果选中不买，木有反应，选买就进入一个窗口价格是80多美元·····如果用工具强行结束，就会出现文件打不开的问题（貌似是改了关联），但是ie可以正常使用。附上行为：
2012-12-8 12:21:07 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
命令行: "C:\Documents and Settings\Administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe"
规则: [应用程序]*

2012-12-8 12:21:18 创建文件允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-12-8 12:21:27 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-12-8 12:21:30 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2012-12-8 12:21:31 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2012-12-8 12:21:32 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2012-12-8 12:21:33 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2012-12-8 12:21:34 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
值: 0x00000001(1)
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security center

2012-12-8 12:21:35 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-12-8 12:21:37 删除注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-12-8 12:21:38 创建新进程允许
进程: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
目标: c:\documents and settings\administrator\local settings\application data\ubn.exe
命令行: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -gav C:\Documents and Settings\Administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
规则: [应用程序]*

2012-12-8 12:21:45 删除文件允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: C:\Documents and Settings\Administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2012-12-8 12:21:50 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1217] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:21:53 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:21:54 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:21:56 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:21:56 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:21:57 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:21:58 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\open\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:21:59 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:00 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\runas\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:01 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:01 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: UDP [本机 : 1218] ->  [127.0.0.1 : 1218]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:01 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:02 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1219] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:02 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:03 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:03 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:03 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\open\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:04 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:04 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uR1\shell\runas\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:22:05 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1220] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:05 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1221] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:06 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1222] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:06 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1224] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:06 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1223] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:15 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1225] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:20 结束其他进程允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2012-12-8 12:22:23 访问COM接口 (2) 允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: {9BA05972-F6A8-11CF-A442-00A0C90A8F39} ShellWindows
规则: [应用程序]* -> [COM接口]{9BA05972-F6A8-11CF-A442-00A0C90A8F39}

2012-12-8 12:22:30 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1226] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:42 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1227] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:22:55 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1228] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:23:08 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1229] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:23:20 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1230] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:23:33 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1231] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:24:15 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1232] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:24:27 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1233] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:24:41 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1234] ->  [78.140.135.211 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:24:48 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\local settings\application data\ubn.exe
命令行: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe"  -a "C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll,Control_RunDLL "C:\WINDOWS\system32\wscui.cpl",安全中心
规则: [应用程序]*

2012-12-8 12:24:53 创建新进程允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\WINDOWS\system32\rundll32.exe" C:\WINDOWS\system32\shell32.dll,Control_RunDLL "C:\WINDOWS\system32\wscui.cpl",安全中心
规则: [应用程序]*

2012-12-8 12:25:51 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\local settings\application data\ubn.exe
命令行: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe"  -a "C:\Program Files\Internet Explorer\iexplore.exe"
规则: [应用程序]*

2012-12-8 12:25:58 创建新进程允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\iexplore.exe"
规则: [应用程序]*

2012-12-8 12:26:17 向其他进程发送消息允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_SYSCOMMAND
规则: [应用程序]*

2012-12-8 12:27:47 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1235] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:27:50 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1236] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:27:51 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1237] ->  [173.194.74.95 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:27:52 创建文件允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W1MB81Q3\payform3[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2012-12-8 12:27:54 创建文件允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S52BK12Z\jquery.min[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

2012-12-8 12:27:57 访问网络允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: TCP [本机 : 1238] ->  [78.140.135.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-12-8 12:34:00 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version
值: WS not installed
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2012-12-8 12:34:02 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:34:05 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:34:07 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\HFm\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:34:09 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\HFm\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:49:13 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uH\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:49:13 创建新进程阻止
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\macromed\flash\flashplayerupdateservice.exe
命令行: "C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe"
规则: [应用程序]*

2012-12-8 12:49:14 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uH\shell\open\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:49:15 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uH\shell\runas\command
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:49:16 修改注册表值阻止
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uH\shell\runas\command\IsolatedCommand
值: "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2012-12-8 12:49:44 修改注册表值阻止并结束进程
进程: c:\documents and settings\administrator\local settings\application data\ubn.exe
目标: HKEY_CURRENT_USER\Software\Classes\uH\shell\open\command
值: "C:\Documents and Settings\Administrator\Local Settings\Application Data\ubn.exe" -a "%1" %*
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

显示全部楼层 · 发表于 2012-12-8 13:21:32

完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________
在电脑上的创建时间 2012-12-8 ( 13:20:03 )
上次使用时间 2012-12-8 ( 13:20:03 )
启动项目否
已启动是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
winrar.exe

创建的文件:
freescan_xp_2012.exe
____________________________
文件操作
受感染文件: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
已删除
受感染文件: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe
不需要操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe, PID:2984)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\local settings\application data\aot.exe (执行者 c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe, PID:2984)
未采取操作
事件: 进程启动: c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe, PID:2984 (执行者 c:\documents and settings\administrator\桌面\freescan_xp_2012\freescan_xp_2012.exe, PID:2984)
未采取操作
平均资源使用率:低平均CPU 使用率:低平均内存使用率:低
____________________________
文件指纹 - SHA:
232fccd923a65f1f2e8f2bcd60cd2b5a25b50033f237e10b8edb36fe5d5aa779
____________________________
文件指纹 - MD5:
6bfa50b10b942bc3c2e9afbc70215d5f
____________________________

显示全部楼层 · 发表于 2012-12-8 13:49:45

本帖最后由 jayavira 于 2012-12-8 13:52 编辑

panda 启发

显示全部楼层 · 发表于 2012-12-8 14:36:32

Tom179090 发表于 2012-12-8 12:29
双击avg killed

补图

显示全部楼层 · 发表于 2012-12-8 17:18:31

过avast自动沙盘

显示全部楼层 · 发表于 2012-12-8 17:28:25

本帖最后由萧逆水于 2012-12-8 17:40 编辑

数字杀 avast 扫描不报网页防护报

显示全部楼层 · 发表于 2012-12-8 17:30:57

656635525 发表于 2012-12-8 14:36
补图

我人气没了

显示全部楼层 · 发表于 2012-12-8 17:34:00

本帖最后由 leonfg 于 2012-12-8 17:36 编辑

萧逆水发表于 2012-12-8 17:28
avast 数字都杀了

为毛我的小a不认识
尼玛试出来了扫描和文件监控不报网页监控报

显示全部楼层 · 发表于 2012-12-8 17:36:11

本帖最后由萧逆水于 2012-12-8 17:39 编辑

leonfg 发表于 2012-12-8 17:34
为毛我的小a不认识

啊不好意思我重新扫描了下 avast扫描不报网页防护报我弄错了不好意思哈

[可疑文件] freescan_xp_2012.zip

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源