恶意程序小马激活，测试下主防

显示全部楼层 · 发表于 2016-5-18 09:59:45

本帖最后由天耀群星于 2016-5-19 17:34 编辑

恶意程序： https://yunpan.cn/cScRUrPjSRwve （提取码：479d）

2016/5/19 16:24:48 创建文件注意
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\system32\drivers\LHPLKernel.sys
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:48 创建注册表项允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Surak
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:49 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Surak\SURAKREG
值: 42 4d 89 55 39 c3 fd 94 87 f1 a4 a1 b0 cd 11 db 81 e1 4c eb 39 eb 5c 81 c5 51 00 73 ff 91 02 26 26 1b 72 ce 92 43 f7 5b e1 10 7d 24 f8 40 56 4a dd 24 25 f4 b3 4e f0 70 45 3a 72 7c c9 ae 96 32 1c 0c e4 23 dc 48 5f 2e e1 fe 4c e5 47 d9 c1 89 2d 0f 47 81 d2 95 31 1c 59 6f 9f db ab 08 a8 a3 28 f0 d2 cd 6c c3 d6 33 fe 7c d8 05 87 17 6f cc e2 cc e6 55 4c c1 2f 29 79 f7 2e c8 7e 74 14 75 77 0c 3b 0f 22 96 0c d4 eb c1 80 50 5d bd bb 43 90 72 0e 39 bb 63 e3 7d 77 9e cf d2 8a fe 1a 28 8f 47 0e 25 a1 ec 9a 0e 2b 6b 6b 74 75 53 2c b5 91 d0 75 9f 10 0a 9c 43 a3 05 60 cf 12 3e 38 8b a8 2d bb e2 e4 59 51 05 ff 35 9d 54 7f 1b 84 3a 01 9c 6e 48 95 3f 4e 1c 9b 0f 89 33 49 0e c4 94 a6 ca 49 55 da 60 c2 b2 55 7c 59 d8 10 dd 3c b7 a5 a0 88 8c 0f 56 4f d6 97 0e ed e9 b1 7b 4a 8f 96 f8 2b ed 30 ba c2 3f c9 5a f9 12 24 67 e4 1c 97 14 fb 1c 38 e4 ce 76 2b 6e 1f 54 39 81 37 1d d8 26 4d b5 54 05 1d e2 c2 c9 2d 92 30 4a 4b 37 56 81 21 9d 93 df 0c 71 63 2a 96 ed a5 01 04 de 69 31 71 de aa 0a 50 27 1c a0 88 f5 18 41 b1 67 e4 68 51 5a 1e 68 56 cf fa 6f 15 d6 07 95 24 5c d5 55 94 58 93 fb c4 3f 14 55 d8 cb f5 2f 1a ae 2b 4a 85 72 9e 56 84 23 39 87 f7 a7 16 a8 fa 9e 91 eb eb 52 1f 26 77 42 c4 8c 01 7f 63 d7 8d 91 8a 90 21 47 a1 f8 c5 74 48 07 85 bf 9a 7c 2a f9 95 d8 0f 2d 34 e7 2f ee a4 6b 3a e1 99 f7 95 1e 67 43 89 0d ea bd 4f 21 93 ca 3a 9d 60 f9 57 f4 83 74 c5 61 05 9a b8 14 b2 15 40 3f 5f 99 47 22 1c de b0 c3 47 25 8c 41 13 10 f4 d0 2e e2 aa 52 16 63 b1 de ce 9d df 82 65 39 7b 55 3e bc 3b 2b fc 05 0c ec 49 10 6d be c4 fc 92 4b 5e 51 00 3a a0 fa bc a4 5a 87
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:49 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Surak\SURAKFILE
值: 06 d4 d7 37 bd 53 6f 01 fe 20 35 72 c6 60 1d fc dd 41 57 a8 16 1f 5a b2 9c 51 e7 a0 84 f3 2e c4 e0 1b 5f c2 4a e1 90 36 cd d9 51 9c e3 a3 e3 12 4e 8f 75 ae 2c fe 32 98 e8 16 da e9 ba 88 28 ad 68 f7 64 74 f5 70 db 42 c5 30 40 48 f1 ce 0f 2e 08 0a c9 cb d3 43 40 b1 43 c3 5d 50 0b 5c 6e 0f 11 2e 2e c7 e1 2c 9b 93 b8 50 e9 49 7c 98 28 00 58 b4 fb cc af 34 c6 b9 e5 f4 e9 44 55 7f 1f 50 98 ef 21 f7 0d 10 4e 6c c2 a0 37 4e bf 4f 3c 1f 5d 0f 36 fd 0e a6 44 16 e8 75 a2 d0 1f f3 cf ae a9 98 35 92 77 98 47 9f f6 b2 ea b0 25 a3 a5 53 35 9e 2c 07 53 2a 89 05 7e 08 1a c9 31 5a c8 cb 73 9b 36 60 45 6a 7f d1 bc ef 11 ae 0b e5 05 1e dd b0 5f 8d c3 59 11 7a 3b fe ea 42 0c 60 d7 08 e6 d6 87 41 5f c8 07 03 10 46 7e 68 f1 76 24 59 f1 87 66 1a 9c bb 2e c4 08 36 1d 67 bb 6e cf 4f de 06 44 b4 31 a4 20 9a 74 fa ab bc 90 e1 de 4b a4 56 d0 76 71 65 cb 40 a3 d1 5b 19 25 7a 37 d2 a8 e2 1c 4a 9e cf b1 84 9a fb d9 a3 31 9a d1 0e e4 49 80 5e 8b 11 12 67 2c 9a fd 69 1d 9d ab 47 92 3e f0 ea 57 1d 4c f2 43 8d c5 95 63 1e 7d a4 b1 e3 5d be ca 2a d2 14 57 78 4f 45 63 e0 76 89 2a 67 42 10 53 f8 4b 1e 34 24 49 e5 0b c9 64 27 4b 89 0d f3 0c 2b 78 cd f2 80 fd e8 de d1 69 96 5b 33 47 63 86 25 1e 7b f1 f1 2a 29 da 38 e8 0c 09 24 45 8f 78 7d 67 e4 96 b2 26 cf 24 64 fb de 05 18 d4 09 77 8a 7a dc f0 ae 2b 42 b6 e8 47 f8 3b ad d6 88 4a 23 a7 60 cc 73 e3 09 86 3a 5f 3b b8 b8 ec 42 e8 68 c8 c3 6c f6 8e 53 e8 68 c3 01 ff 2a 91 94 4e 84 44 9f 92 08 68 61 a0 01 86 99 d8 7e 6c 35 ac 47 e2 f3 70 98 8d b3 18 ec 4b 2e 1f df e3 0a a8 8f e6 5b 1a 28 28 2f 39 57 bc b0 64 e9 b8 9e 15 e8
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:49 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Surak\SURAKPROCESS
值: af fe 14 26 6e b4 1e 55 fa 32 58 18 41 f1 60 73 9b 11 b0 a4 30 b7 87 13 fd 52 cd 19 15 9f 34 8f c6 52 ca 29 6d ab 91 fb e5 2d 4e 96 ec 26 bc 99 43 24 60 04 f1 41 62 49 23 6f 90 69 74 fc 36 fb bc 81 39 4f 82 9b 54 08 0c 46 8d be 2c a9 39 84 df 08 bc e4 70 ab 06 2e 85 ec d5 a0 6e 89 35 6f f2 b7 cd 3f c7 ac 7c b8 dd e2 0a 12 7b 8d 29 62 bb 0c 68 25 9b 2f 97 f5 91 1c 44 1a 4a 7a 15 63 07 27 76 88 bd bf 78 83 0d 80 6e 2e de d1 94 f0 1e 4e 0f 70 c9 06 cc cd a8 12 61 b6 41 2f 85 8a 3d 9d 3c 9d 2f a6 ae 2b a7 6b 43 76 c3 8b 88 b0 5a 1e 7f ab 56 32 0e 38 22 58 36 13 43 c4 98 32 97 40 c3 91 99 c3 fa cf 39 ea eb b7 68 e6 6d 82 ae ff ec 10 22 48 8d 70 13 d3 60 e4 d8 87 b1 4b 62 af 99 c8 7d ae 4a d7 17 a7 3e ee 30 42 62 45 e4 bc fa a1 fa 41 b6 5d 0a b0 fa 48 73 1f 78 2f 54 88 65 1a f1 a5 7d d7 d6 54 9c 4d 17 bd c7 69 0b 70 e0 c8 a8 80 14 dc b9 46 f9 5a 0f d2 b5 cb 57 5a 46 08 33 2f b5 5e e5 85 2d b5 3c e5 7b 1c f0 fe b7 66 63 bd fa 4b e1 f3 e5 f7 b0 cd d1 52 7f ae 60 fc bf 91 0c 1c f9 87 48 20 84 d6 23 2e 52 a9 65 0b 2d 30 06 ba a4 a7 8b 45 76 11 9f c7 b4 83 c9 1b ce 3a b1 77 7f 3f 15 b4 98 af aa 85 be 4d f3 8d 84 ee 1c e4 73 ed 86 0c ba b5 d8 1f ee d9 e3 cf dc 6f c5 de 69 14 31 69 70 e5 86 34 e2 28 1b d8 e7 52 d0 e6 c2 4a d4 de 0d 6e b5 28 0d 8b 23 e9 40 57 ea fb 35 5e 08 90 74 0c 79 e4 75 61 4d 97 9e 6e b8 5d c6 9c aa c4 46 dd bb 5e 97 32 91 ac 36 5b ac fe 2c 64 3c 60 64 d6 db 39 32 4a b7 27 7e 57 12 80 75 76 66 d1 93 9d bd 28 ec 6a 16 38 c8 46 6a 76 dc 6d 97 11 14 ed c1 27 c7 2e 59 05 d3 38 ad db 9c d5 68 20 b9 a4 29 a0 cc 2f 44 80 36 c3
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:50 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Temp\surak.inf
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:50 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Temp\surak.sys
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:50 创建新进程允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\Windows\system32\RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 C:\Users\ljx\AppData\Local\Temp\surak.inf
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:51 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\apphelp.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:51 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\apphelp.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:51 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\AppPatch\sysmain.sdb
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:58 修改文件 (6) 允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\inf\setupapi.app.log
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]秒杀-重点保护 -> [文件]c:\windows\inf*

2016/5/19 16:24:58 创建文件允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\system32\DRIVERS\surak.sys
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [文件组]☆系统执行文件（严格阻止）

2016/5/19 16:25:00 修改文件 (6) 允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\inf\setupapi.app.log
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]秒杀-重点保护 -> [文件]c:\windows\inf*

2016/5/19 16:25:00 安装驱动程序或服务注意
进程: c:\windows\system32\rundll32.exe
目标: system32\DRIVERS\surak.sys
规则: [应用程序组]%系统程序-高危禁运-《询问》 21

2016/5/19 16:25:06 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Surak\Start
值: 0x00000001(1)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\*; Start

2016/5/19 16:25:06 修改注册表值允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList\FSFilter Activity Monitor
值: 02 00 00 00 01 00 00 00 02 00 00 00
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [注册表组]保护-系统所有驱动服务

2016/5/19 16:25:07 修改文件 (2) 允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\inf\setupapi.app.log
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]秒杀-重点保护 -> [文件]c:\windows\inf*

2016/5/19 16:25:07 修改注册表值允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Surak\DebugFlags
值: 0x00000000(0)
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [注册表组]保护-系统所有驱动服务

2016/5/19 16:25:08 修改注册表值允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\GrpConv
值: grpconv -o
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*

2016/5/19 16:25:11 创建新进程允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\runonce.exe
命令行: "C:\Windows\system32\runonce.exe" -r
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [应用程序]c:\windows\system32\rundll32.exe

显示全部楼层 · 发表于 2016-5-19 17:33:21

liulangzhecgr 发表于 2016-5-19 17:26
你的md呢？！卸载啦？！哪来的毛豆哦

2016/5/19 16:24:02 创建新进程允许
进程: c:\users\ljx\downloads\小马激活\小马激活.exe
目标: c:\users\ljx\appdata\local\temp\installservice.exe
命令行: C:\Users\ljx\AppData\Local\Temp\InstallService.exe
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:02 读文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\Downloads\小马激活
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:03 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\sechost.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:03 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\sechost.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:03 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\imm32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:04 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:04 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\dtrampo.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:05 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\dtrampo.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:05 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\version.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:05 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\version.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:06 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\guard32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:06 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\guard32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:06 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\fltLib.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:07 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\fltlib.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:07 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\ntdll.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:07 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\KernelBase.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:08 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\kernel32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:08 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\ole32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:08 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\gdi32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:09 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\shell32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:09 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\user32.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:10 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\Globalization\Sorting\SortDefault.nls
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:10 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:10 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\apps
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:11 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\apps\data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:11 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\apps\data\users
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:11 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\apps\data\users\default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:12 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\apps\data\users\default\360sefav.db
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:12 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:12 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:13 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Local Storage
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:13 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Local Storage\chrome_newtab_0.localstorage
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:13 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Local Storage\chrome_newtab_0.localstorage-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:14 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Local Storage\https_hao.360.cn_0.localstorage
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:14 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Local Storage\https_hao.360.cn_0.localstorage-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:14 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:15 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Top Sites
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:15 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Top Sites-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:15 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Web Data
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:16 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\360se6\User Data\Default\Web Data-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:16 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:16 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:17 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:17 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:17 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\blank_tab
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:18 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\blank_tab\new_tab.db
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:18 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\bookmark
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:18 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\bookmark\bookmark.db
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:19 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\bookmark\bookmark.db.bak
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:19 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\settings
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:19 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Baidu\BaiduBrowser\user_data\default\settings\user_setting.db
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:20 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:20 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser\User_Data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:20 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser\User_Data\Default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:21 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser\User_Data\Default\Bookmark.db
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:21 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser\User_Data\Default\newtab
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:21 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser\User_Data\Default\newtab\newtab.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:22 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\JuziBrowser\User_Data\Default\speedup.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:22 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:22 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:23 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:23 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Config
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:23 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Config\config.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:24 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Config\config.ini
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:24 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Config\SyncConfig.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:24 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Favorite
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:25 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Favorite\Favorite.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:25 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\Favorite\tempfb3.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:25 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\QuickAccess
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:26 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\QuickAccess\QaConfig.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:26 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\QuickAccess\QaConfig.ini
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:26 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Maxthon3\Users\guest\QuickAccess\QaSnap.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:26 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\SogouExplorer\commcfg.xml
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:27 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\SogouExplorer\config.xml
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:27 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\SogouExplorer\favorite3.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:27 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\SogouExplorer\favorite3Mob.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:28 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Tencent\QQBrowser
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:28 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Tencent\QQBrowser\DB
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:28 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Roaming\Tencent\QQBrowser\DB\favorite.db
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:29 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:29 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:29 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data\Default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:30 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data\Default\Bookmarks
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:30 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data\Default\Current Session
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:30 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data\Default\page_file.dat
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:31 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data\Default\PreferencesV2
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:31 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\User Data\Default\Secure Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:31 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\Users
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:32 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\Users\Default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:32 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\Users\Default\FavoritesUpdate.data
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:32 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\Users\Default\Setting.cfg
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:33 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\Users\Default\StartPageConfig.data
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:33 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\2345Explorer\Users\Default\Statistics.data
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:33 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:34 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:34 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome\User Data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:34 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome\User Data\Default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:35 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome\User Data\Default\Bookmarks
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:35 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome\User Data\Default\Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:35 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome\User Data\Default\Top Sites
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:36 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\360Chrome\Chrome\User Data\Default\Top Sites-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:36 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Google\Chrome\User Data\Default\Bookmarks
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:36 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Google\Chrome\User Data\Default\Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:37 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:37 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\liebao\User Data\Default\Bookmarks
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:37 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\liebao\User Data\Default\Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:38 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\TheWorld6\User Data\Default\Bookmarks
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:38 修改文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\TheWorld6\User Data\Default\Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:38 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:39 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:39 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data\Default
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:39 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data\Default\Bookmarks
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:40 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data\Default\Favicons.7
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:40 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data\Default\Favicons.7-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:40 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data\Default\Favicons.8-journal
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:41 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\UCBrowser\User Data\Default\Preferences
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:41 创建文件夹允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\su
规则: [应用程序组]阻止——高危可执行 23 -> [应用程序]*\temp* -> [文件组]↑[0]<全局>全局规则

2016/5/19 16:24:41 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\system32\drivers\UMDF\ouhij.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:47 创建注册表项允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LHPLKernel
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:48 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LHPLKernel\CONFIG
值: b4 9c 84 e6 fc a8 ed 0d cc 55 46 d0 c7 6a 13 a0 07 d1 6f cd 5b 9e c2 cd 87 45 a5 4b f5 52 55 32 8b 72 0f da b2 bc 2e 41 32 24 cd 99 ca dc 3c 46 c4 bf 08 85 24 76 b7 6b a4 a0 86 ed 19 6c e4 b8 fc 11 bf 71 30 21 62 ca 2e ac b0 5d 52 77 55 00 92 6a 28 01 a6 78 85 06 c2 5c 99 4c 43 64 18 cd 68 47 b7 00 b6 07 e3 b6 8c 60 53 d2 f3 ae df c7 6f 8a d0 20 b4 cb 81 ca 23 e6 ee 80 6c 27 04 d9 91 ba 41 06 90 59 bc f1 cb 35 41 01 c8 78 b8 b3 00 eb d0 67 86 00 2a 73 a4 e7 08 71 00 ca a1 ed c4 9c 3d 83 0c 75 ae 8f db bb db 1d a4 fe d1 80 61 4e 04 b6 e4 1d e5 f9 06 96 24 a5 5e 9c 29 ff cf 1f 80 ce cb 9a f6 2c 95 39 05 59 70 64 f4 6e b5 b8 1b 9c 06 80 17 4e fc 92 8e 7d f9 bf 0f 5e 1c a8 27 b3 14 fa e6 93 7c 51 d1 dd 5a 67 64 e7 81 18 b1 2a a6 5c cf ea 53 69 01 7a 6c 99 f9 95 ef 52 b4 f9 c0 a1 59 ca 3d de bf 2a 40 87 f7 09 77 16 77 3c 1a 33 51 62 51 12 f7 04 7c a0 46 e3 87 c8 0e c7 ae 72 25 be 2f b7 e1 aa 5e 5a a9 85 77 4a 5b b9 af 8d 55 d5 94 0d 11 64 5a 01 72 cf dd e2 29 47 2c e9 3c d4 13 ef 38 1c ff 57 11 58 19 e0 85 3d 75 b2 0f b6 ff 53 73 51 23 ff ff 71 74 c5 7b 11 47 54 06 4a da 20 ac 4a 3a 2f 72 7a 1e f0 14 64 4f cc 3a 79 b7 54 29 e9 29 0f b3 a9 4a 80 5e 82 ea 5b 00 90 80 e9 fe 8b 3d 26 97 ff ea 1a ba f2 8d 9c 03 31 6a ee b4 74 df a8 f2 44 a2 ff ed 26 16 be 76 07 20 da db 7f 15 6b 7f 15 e2 b2 a5 9b 1c 52 9d 73 10 3c 25 ab 6b d8 82 fd 36 c6 92 1d b8 a7 c5 96 39 e5 85 0e aa 92 d3 f3 ad 4b a0 be bd 90 5f c7 66 d1 57 59 a9 91 2a ba 37 c2 4e 2e 3e 31 7b f0 bf 51 3b c0 b1 83 ec 9e 33 b6 7e a7 6f ec 72 a7 32 e5 52 ec 8d b5 18 15 84 fb d3 1a e9 c9
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:48 创建文件注意
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\system32\drivers\LHPLKernel.sys
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:48 创建注册表项允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Surak
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:49 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Surak\SURAKREG
值: 42 4d 89 55 39 c3 fd 94 87 f1 a4 a1 b0 cd 11 db 81 e1 4c eb 39 eb 5c 81 c5 51 00 73 ff 91 02 26 26 1b 72 ce 92 43 f7 5b e1 10 7d 24 f8 40 56 4a dd 24 25 f4 b3 4e f0 70 45 3a 72 7c c9 ae 96 32 1c 0c e4 23 dc 48 5f 2e e1 fe 4c e5 47 d9 c1 89 2d 0f 47 81 d2 95 31 1c 59 6f 9f db ab 08 a8 a3 28 f0 d2 cd 6c c3 d6 33 fe 7c d8 05 87 17 6f cc e2 cc e6 55 4c c1 2f 29 79 f7 2e c8 7e 74 14 75 77 0c 3b 0f 22 96 0c d4 eb c1 80 50 5d bd bb 43 90 72 0e 39 bb 63 e3 7d 77 9e cf d2 8a fe 1a 28 8f 47 0e 25 a1 ec 9a 0e 2b 6b 6b 74 75 53 2c b5 91 d0 75 9f 10 0a 9c 43 a3 05 60 cf 12 3e 38 8b a8 2d bb e2 e4 59 51 05 ff 35 9d 54 7f 1b 84 3a 01 9c 6e 48 95 3f 4e 1c 9b 0f 89 33 49 0e c4 94 a6 ca 49 55 da 60 c2 b2 55 7c 59 d8 10 dd 3c b7 a5 a0 88 8c 0f 56 4f d6 97 0e ed e9 b1 7b 4a 8f 96 f8 2b ed 30 ba c2 3f c9 5a f9 12 24 67 e4 1c 97 14 fb 1c 38 e4 ce 76 2b 6e 1f 54 39 81 37 1d d8 26 4d b5 54 05 1d e2 c2 c9 2d 92 30 4a 4b 37 56 81 21 9d 93 df 0c 71 63 2a 96 ed a5 01 04 de 69 31 71 de aa 0a 50 27 1c a0 88 f5 18 41 b1 67 e4 68 51 5a 1e 68 56 cf fa 6f 15 d6 07 95 24 5c d5 55 94 58 93 fb c4 3f 14 55 d8 cb f5 2f 1a ae 2b 4a 85 72 9e 56 84 23 39 87 f7 a7 16 a8 fa 9e 91 eb eb 52 1f 26 77 42 c4 8c 01 7f 63 d7 8d 91 8a 90 21 47 a1 f8 c5 74 48 07 85 bf 9a 7c 2a f9 95 d8 0f 2d 34 e7 2f ee a4 6b 3a e1 99 f7 95 1e 67 43 89 0d ea bd 4f 21 93 ca 3a 9d 60 f9 57 f4 83 74 c5 61 05 9a b8 14 b2 15 40 3f 5f 99 47 22 1c de b0 c3 47 25 8c 41 13 10 f4 d0 2e e2 aa 52 16 63 b1 de ce 9d df 82 65 39 7b 55 3e bc 3b 2b fc 05 0c ec 49 10 6d be c4 fc 92 4b 5e 51 00 3a a0 fa bc a4 5a 87
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:49 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Surak\SURAKFILE
值: 06 d4 d7 37 bd 53 6f 01 fe 20 35 72 c6 60 1d fc dd 41 57 a8 16 1f 5a b2 9c 51 e7 a0 84 f3 2e c4 e0 1b 5f c2 4a e1 90 36 cd d9 51 9c e3 a3 e3 12 4e 8f 75 ae 2c fe 32 98 e8 16 da e9 ba 88 28 ad 68 f7 64 74 f5 70 db 42 c5 30 40 48 f1 ce 0f 2e 08 0a c9 cb d3 43 40 b1 43 c3 5d 50 0b 5c 6e 0f 11 2e 2e c7 e1 2c 9b 93 b8 50 e9 49 7c 98 28 00 58 b4 fb cc af 34 c6 b9 e5 f4 e9 44 55 7f 1f 50 98 ef 21 f7 0d 10 4e 6c c2 a0 37 4e bf 4f 3c 1f 5d 0f 36 fd 0e a6 44 16 e8 75 a2 d0 1f f3 cf ae a9 98 35 92 77 98 47 9f f6 b2 ea b0 25 a3 a5 53 35 9e 2c 07 53 2a 89 05 7e 08 1a c9 31 5a c8 cb 73 9b 36 60 45 6a 7f d1 bc ef 11 ae 0b e5 05 1e dd b0 5f 8d c3 59 11 7a 3b fe ea 42 0c 60 d7 08 e6 d6 87 41 5f c8 07 03 10 46 7e 68 f1 76 24 59 f1 87 66 1a 9c bb 2e c4 08 36 1d 67 bb 6e cf 4f de 06 44 b4 31 a4 20 9a 74 fa ab bc 90 e1 de 4b a4 56 d0 76 71 65 cb 40 a3 d1 5b 19 25 7a 37 d2 a8 e2 1c 4a 9e cf b1 84 9a fb d9 a3 31 9a d1 0e e4 49 80 5e 8b 11 12 67 2c 9a fd 69 1d 9d ab 47 92 3e f0 ea 57 1d 4c f2 43 8d c5 95 63 1e 7d a4 b1 e3 5d be ca 2a d2 14 57 78 4f 45 63 e0 76 89 2a 67 42 10 53 f8 4b 1e 34 24 49 e5 0b c9 64 27 4b 89 0d f3 0c 2b 78 cd f2 80 fd e8 de d1 69 96 5b 33 47 63 86 25 1e 7b f1 f1 2a 29 da 38 e8 0c 09 24 45 8f 78 7d 67 e4 96 b2 26 cf 24 64 fb de 05 18 d4 09 77 8a 7a dc f0 ae 2b 42 b6 e8 47 f8 3b ad d6 88 4a 23 a7 60 cc 73 e3 09 86 3a 5f 3b b8 b8 ec 42 e8 68 c8 c3 6c f6 8e 53 e8 68 c3 01 ff 2a 91 94 4e 84 44 9f 92 08 68 61 a0 01 86 99 d8 7e 6c 35 ac 47 e2 f3 70 98 8d b3 18 ec 4b 2e 1f df e3 0a a8 8f e6 5b 1a 28 28 2f 39 57 bc b0 64 e9 b8 9e 15 e8
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:49 修改注册表值允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Surak\SURAKPROCESS
值: af fe 14 26 6e b4 1e 55 fa 32 58 18 41 f1 60 73 9b 11 b0 a4 30 b7 87 13 fd 52 cd 19 15 9f 34 8f c6 52 ca 29 6d ab 91 fb e5 2d 4e 96 ec 26 bc 99 43 24 60 04 f1 41 62 49 23 6f 90 69 74 fc 36 fb bc 81 39 4f 82 9b 54 08 0c 46 8d be 2c a9 39 84 df 08 bc e4 70 ab 06 2e 85 ec d5 a0 6e 89 35 6f f2 b7 cd 3f c7 ac 7c b8 dd e2 0a 12 7b 8d 29 62 bb 0c 68 25 9b 2f 97 f5 91 1c 44 1a 4a 7a 15 63 07 27 76 88 bd bf 78 83 0d 80 6e 2e de d1 94 f0 1e 4e 0f 70 c9 06 cc cd a8 12 61 b6 41 2f 85 8a 3d 9d 3c 9d 2f a6 ae 2b a7 6b 43 76 c3 8b 88 b0 5a 1e 7f ab 56 32 0e 38 22 58 36 13 43 c4 98 32 97 40 c3 91 99 c3 fa cf 39 ea eb b7 68 e6 6d 82 ae ff ec 10 22 48 8d 70 13 d3 60 e4 d8 87 b1 4b 62 af 99 c8 7d ae 4a d7 17 a7 3e ee 30 42 62 45 e4 bc fa a1 fa 41 b6 5d 0a b0 fa 48 73 1f 78 2f 54 88 65 1a f1 a5 7d d7 d6 54 9c 4d 17 bd c7 69 0b 70 e0 c8 a8 80 14 dc b9 46 f9 5a 0f d2 b5 cb 57 5a 46 08 33 2f b5 5e e5 85 2d b5 3c e5 7b 1c f0 fe b7 66 63 bd fa 4b e1 f3 e5 f7 b0 cd d1 52 7f ae 60 fc bf 91 0c 1c f9 87 48 20 84 d6 23 2e 52 a9 65 0b 2d 30 06 ba a4 a7 8b 45 76 11 9f c7 b4 83 c9 1b ce 3a b1 77 7f 3f 15 b4 98 af aa 85 be 4d f3 8d 84 ee 1c e4 73 ed 86 0c ba b5 d8 1f ee d9 e3 cf dc 6f c5 de 69 14 31 69 70 e5 86 34 e2 28 1b d8 e7 52 d0 e6 c2 4a d4 de 0d 6e b5 28 0d 8b 23 e9 40 57 ea fb 35 5e 08 90 74 0c 79 e4 75 61 4d 97 9e 6e b8 5d c6 9c aa c4 46 dd bb 5e 97 32 91 ac 36 5b ac fe 2c 64 3c 60 64 d6 db 39 32 4a b7 27 7e 57 12 80 75 76 66 d1 93 9d bd 28 ec 6a 16 38 c8 46 6a 76 dc 6d 97 11 14 ed c1 27 c7 2e 59 05 d3 38 ad db 9c d5 68 20 b9 a4 29 a0 cc 2f 44 80 36 c3
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [注册表]*

2016/5/19 16:24:50 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Temp\surak.inf
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:50 创建文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Users\ljx\AppData\Local\Temp\surak.sys
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:50 创建新进程允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\Windows\system32\RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 C:\Users\ljx\AppData\Local\Temp\surak.inf
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:51 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\System32\apphelp.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:51 加载动态链接库允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: c:\windows\system32\apphelp.dll
规则: [应用程序组]☣黑名单-恶意程序☣ 5

2016/5/19 16:24:51 读文件允许
进程: c:\users\ljx\appdata\local\temp\installservice.exe
目标: C:\Windows\AppPatch\sysmain.sdb
规则: [应用程序组]☣黑名单-恶意程序☣ 5 -> [文件]*

2016/5/19 16:24:58 修改文件 (6) 允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\inf\setupapi.app.log
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]秒杀-重点保护 -> [文件]c:\windows\inf*

2016/5/19 16:24:58 创建文件允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\system32\DRIVERS\surak.sys
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [文件组]☆系统执行文件（严格阻止）

2016/5/19 16:25:00 修改文件 (6) 允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\inf\setupapi.app.log
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]秒杀-重点保护 -> [文件]c:\windows\inf*

2016/5/19 16:25:00 安装驱动程序或服务注意
进程: c:\windows\system32\rundll32.exe
目标: system32\DRIVERS\surak.sys
规则: [应用程序组]%系统程序-高危禁运-《询问》 21

2016/5/19 16:25:06 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Surak\Start
值: 0x00000001(1)
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\*; Start

2016/5/19 16:25:06 修改注册表值允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList\FSFilter Activity Monitor
值: 02 00 00 00 01 00 00 00 02 00 00 00
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [注册表组]保护-系统所有驱动服务

2016/5/19 16:25:07 修改文件 (2) 允许
进程: c:\windows\system32\rundll32.exe
目标: C:\Windows\inf\setupapi.app.log
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]秒杀-重点保护 -> [文件]c:\windows\inf*

2016/5/19 16:25:07 修改注册表值允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Surak\DebugFlags
值: 0x00000000(0)
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [注册表组]保护-系统所有驱动服务

2016/5/19 16:25:08 修改注册表值允许
进程: c:\windows\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\GrpConv
值: grpconv -o
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*

2016/5/19 16:25:11 创建新进程允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\runonce.exe
命令行: "C:\Windows\system32\runonce.exe" -r
规则: [应用程序组]%系统程序-高危禁运-《询问》 21 -> [应用程序]c:\windows\system32\rundll32.exe

显示全部楼层 · 发表于 2016-5-18 10:00:52

金山
Win32.Heur.KVMH008.a.(kcloud)

显示全部楼层 · 发表于 2016-5-18 10:02:52

QVM16。0

显示全部楼层 · 发表于 2016-5-18 10:16:29

显示全部楼层 · 发表于 2016-5-18 10:18:00

瑞星干掉。

显示全部楼层 · 发表于 2016-5-18 10:22:06

本帖最后由狐狸糊涂于 2016-5-18 10:25 编辑

BD双击显示以下界面

点永久激活系统后拦截

显示全部楼层 · 发表于 2016-5-18 12:17:55

显示全部楼层 · 发表于 2016-5-18 13:31:57

McAfee

显示全部楼层 · 发表于 2016-5-18 14:21:07

本帖最后由天耀群星于 2016-5-19 17:51 编辑

注意：恶意驱动 c:\windows\system32\drivers\surak.sys

恶意驱动 c:\windows\system32\drivers\lhplkernel.sys

显示全部楼层 · 发表于 2016-5-18 14:29:14

火绒

[病毒样本] 恶意程序小马激活，测试下主防

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源