收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 VT Detection ratio: 6 / 44 1A38A303FF2B8936.zip ard ...
12下一页
返回列表 发新帖
查看: 3251|回复: 12
收起左侧

[可疑文件] VT Detection ratio: 6 / 44 1A38A303FF2B8936.zip ard.zip Fake AV BD系和小红伞

[复制链接]
firefox3
发表于 2012-12-20 01:48:04 | 显示全部楼层 |阅读模式












https://www.virustotal.com/file/ ... nalysis/1355938847/

https://www.virustotal.com/file/ ... nalysis/1355938838/

2012-12-20 01:34:24         C:\Program Files\Java\jre7\bin\java.exe         创建进程, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe
2012-12-20 01:35:52         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Application Data\ard.exe
2012-12-20 01:36:41         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         访问内存, 可疑病毒         C:\Program Files\Internet Explorer\iexplore.exe
2012-12-20 01:37:32         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         访问内存         C:\Program Files\Internet Explorer\iexplore.exe
2012-12-20 01:37:33         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         创建进程, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Application Data\ard.exe
2012-12-20 01:37:36         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Application Data\dwn.exe
2012-12-20 01:37:40         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         创建进程         C:\Documents and Settings\Administrator\Local Settings\Application Data\ard.exe
2012-12-20 01:37:45         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\Administrator\Local Settings\Application Data\dwn.exe
2012-12-20 01:37:45         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Application Data\vci.exe
2012-12-20 01:37:50         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Application Data\lyo.exe
2012-12-20 01:37:53         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\Administrator\Local Settings\Application Data\vci.exe
2012-12-20 01:37:53         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\Administrator\Local Settings\Application Data\lyo.exe
2012-12-20 01:37:53         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\Administrator\Local Settings\Application Data\ruu.exe
2012-12-20 01:37:57         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\All Users\Application Data\goh.exe
2012-12-20 01:38:00         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\Administrator\Local Settings\Application Data\ruu.exe
2012-12-20 01:38:00         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\All Users\Application Data\goh.exe
2012-12-20 01:38:00         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\All Users\Application Data\wbj.exe
2012-12-20 01:38:04         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件, 可疑病毒         C:\Documents and Settings\All Users\Application Data\may.exe
2012-12-20 01:38:07         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\All Users\Application Data\wbj.exe
2012-12-20 01:38:23         C:\Documents and Settings\Administrator\Local Settings\Temp\1A38A303FF2B8936.exe         修改文件         C:\Documents and Settings\All Users\Application Data\may.exe
2012-12-20 01:38:27         C:\Program Files\Java\jre7\bin\java.exe         创建进程         C:\Documents and Settings\Administrator\Local Settings\Temp\4E5AD7DB821B8B5E.exe
2012-12-20 01:39:33         C:\Program Files\Java\jre7\bin\java.exe         创建进程         C:\WINDOWS\system32\ntvdm.exe
2012-12-20 01:39:39         C:\WINDOWS\system32\ntvdm.exe         修改文件         C:\WINDOWS\Temp\scs12F.tmp
2012-12-20 01:39:42         C:\WINDOWS\system32\ntvdm.exe         修改文件         C:\WINDOWS\Temp\scs130.tmp
报告结束

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

fireold
发表于 2012-12-20 07:12:27 | 显示全部楼层
本帖最后由 fireold 于 2012-12-20 07:15 编辑



F-Secure Internet Security 2013 解壓即殺



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

消停
头像被屏蔽
发表于 2012-12-20 07:52:08 | 显示全部楼层
完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________
在电脑上的创建时间 2012-12-20 ( 7:29:56 )
上次使用时间 2012-12-20 ( 7:29:56 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
ard.exe
____________________________
文件操作
受感染文件: f:\样本\ard.exe
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 f:\样本\ard.exe, PID:3768)
未采取操作
事件: 进程启动: f:\样本\ard.exe, PID:3768 (执行者 f:\样本\ard.exe, PID:3768)
未采取操作
平均资源使用率:未知平均CPU 使用率:未知平均内存使用率:未知
____________________________
文件指纹 - SHA:
b98fdc7e66a18f22b23dc89fa158f3d940416ffe1cbd5e7af0a873bdf87a9ec2
____________________________
文件指纹 - MD5:
7f46eccbfc78292f8b6d6a02c3067c4a
____________________________


完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________
在电脑上的创建时间 2012-12-20 ( 7:51:30 )
上次使用时间 2012-12-20 ( 7:51:30 )
启动项目 否
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________

此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________


源文件:
winrar.exe

创建的文件:
1a38a303ff2b8936.exe
____________________________
文件操作
受感染文件: f:\样本\1a38a303ff2b8936.exe
已删除
____________________________
注册表操作
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile->DisableNotifications:0
已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess->Start:2
已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center->AntiVirusDisableNotify:0
已修复
____________________________
系统设置操作
事件: 进程启动 (执行者 f:\样本\1a38a303ff2b8936.exe, PID:2784)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\local settings\application data\ykj.exe (执行者 f:\样本\1a38a303ff2b8936.exe, PID:2784)
未采取操作
事件: 进程启动: f:\样本\1a38a303ff2b8936.exe, PID:2784 (执行者 f:\样本\1a38a303ff2b8936.exe, PID:2784)
未采取操作
平均资源使用率:未知平均CPU 使用率:未知平均内存使用率:未知
____________________________
文件指纹 - SHA:
026324bba7ba30d38fd840dcfbabfd19f2eb1caa42148b80a75036cf254b35b3
____________________________
文件指纹 - MD5:
0d8ba2ff2086b628a78174f0dec68045
____________________________

回复

举报

星晨
发表于 2012-12-20 08:34:20 | 显示全部楼层
BitDefender

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

shahe20.520
发表于 2012-12-20 10:20:11 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

3801187
发表于 2012-12-20 11:33:02 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hddu
发表于 2012-12-20 12:06:51 | 显示全部楼层
2012-12-20 12:05:45    创建文件      操作:允许
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
注册表名称:EnableFirewall
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
注册表名称:DisableNotifications
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-12-20 12:05:45    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
注册表名称:Start
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:AntiVirusOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:FirewallOverride
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-20 12:05:45    修改注册表内容      操作:阻止
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
注册表名称:UpdatesDisableNotify
触发规则:所有程序规则->其他重要项->HKEY_LOCAL_MACHINE\Software\Microsoft\Security center


2012-12-20 12:05:45    运行应用程序      操作:允许
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
命令行:-gav F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
触发规则:应用程序规则->程序->?:\*


2012-12-20 12:05:57    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2012-12-20 12:05:57    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
文件路径:C:\Documents and Settings\All Users\Application Data\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\Documents and Settings\*\Application Data\*


2012-12-20 12:05:57    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
文件路径:C:\Documents and Settings\Administrator\Templates\1pb78m8n6he1l1565b3k36w7o7of8ksb88y53s63tpqg0vl
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*


2012-12-20 12:05:59    删除文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
文件路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936.exe
触发规则:所有程序规则->全局设置->?:\*.exe


2012-12-20 12:06:22    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ctfmon.exe
更改后:C:\WINDOWS\system32\ctfmon.exe
更改前:C:\WINDOWS\system32\CTFMON.EXE
触发规则:应用程序规则->Documents and Settings设置->?:\Documents and Settings\*->*\Software\Microsoft\Windows\CurrentVersion\Run*


2012-12-20 12:06:22    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:22    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-20 12:06:22    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\DefaultIcon


2012-12-20 12:06:22    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\DefaultIcon


2012-12-20 12:06:22    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file*


2012-12-20 12:06:22    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-20 12:06:22    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file*


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-20 12:06:22    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-20 12:06:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.*


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\DefaultIcon
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\.exe\shell
注册表名称:[Key]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\.exe*


2012-12-20 12:06:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile
注册表名称:Content Type
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file


2012-12-20 12:06:23    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\DefaultIcon
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\DefaultIcon


2012-12-20 12:06:23    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\open\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command


2012-12-20 12:06:23    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\exefile\shell\*\command


2012-12-20 12:06:23    创建注册表值      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_CLASSES_ROOT\exefile\shell\runas\command
注册表名称:IsolatedCommand
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*file\shell\*\command


2012-12-20 12:06:23    修改注册表内容      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\vif.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->IE浏览器设置->HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command


回复

举报

firefox3
 楼主| 发表于 2012-12-20 12:10:43 | 显示全部楼层
hddu 发表于 2012-12-20 12:06
2012-12-20 12:05:45    创建文件      操作:允许
进程路径:F:\virus\1A38A303FF2B8936\1A38A303FF2B8936. ...

这个动作超多,我跑了一半就拦截了……
回复

举报

hddu
发表于 2012-12-20 12:21:21 | 显示全部楼层
firefox3 发表于 2012-12-20 12:10
这个动作超多,我跑了一半就拦截了……

弹出假杀软,自动扫描,报了不少毒。
回复

举报

firefox3
 楼主| 发表于 2012-12-20 12:22:17 | 显示全部楼层
hddu 发表于 2012-12-20 12:21
弹出假杀软,自动扫描,报了不少毒。

悟空报的吗?
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-2 14:47 , Processed in 0.127514 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表