收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 运行的时候 360 狂拦截 但是还是不行
1234下一页
返回列表 发新帖
查看: 5095|回复: 35
收起左侧

[病毒样本] 运行的时候 360 狂拦截 但是还是不行

  [复制链接]
飞翔企鹅
头像被屏蔽
发表于 2011-1-9 10:43:11 | 显示全部楼层 |阅读模式
为啥自动允许了呢 纳闷了 公司把360 整的跟神似得 但是还是有病毒不能杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jayavira
发表于 2011-1-9 10:46:02 | 显示全部楼层
ess 清空

D:\下载文件夹\新建文件夹.rar > RAR > hjk.vbe - VBS/StartPage.NCW 特洛伊木马
D:\下载文件夹\新建文件夹.rar > RAR > new.vbe - VBS/TrojanDownloader.Agent.NEU 特洛伊木马
D:\下载文件夹\新建文件夹.rar > RAR > 002gangsir.cn.vbe - VBS/StartPage.NCW 特洛伊木马
回复

举报

fatezero
发表于 2011-1-9 10:49:07 | 显示全部楼层
KIS
检测到威胁: Trojan.VBS.Starter.ep        E:\download\新建文件夹.rar/new.vbe       
检测到威胁: Trojan.VBS.KillAV.ag        E:\download\新建文件夹.rar/hjk.vbe       
检测到威胁: Trojan.VBS.KillAV.ag        E:\download\新建文件夹.rar/002gangsir.cn.vbe       
回复

举报

久远寺有珠
发表于 2011-1-9 10:51:15 | 显示全部楼层
搜狗截图_2011-01-09_10-49 ...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

maomao110
发表于 2011-1-9 10:55:54 | 显示全部楼层
avast  秒杀
回复

举报

byxxdrls
头像被屏蔽
发表于 2011-1-9 10:58:06 | 显示全部楼层
本帖最后由 byxxdrls 于 2011-1-9 10:59 编辑

有病毒不能杀不奇怪呀。


关键是你们公司还在用啊?你知道的。

回复

举报

星晨
发表于 2011-1-9 11:03:15 | 显示全部楼层
剩余一上报

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

猪头大队
头像被屏蔽
发表于 2011-1-9 11:44:23 | 显示全部楼层
"";"C:\Users\Administrator\Downloads\新建文件夹.rar:\new.vbe";"发现病毒 JS/Downloader.Agent";"已移至病毒库"
"";"C:\Users\Administrator\Downloads\新建文件夹.rar:\hjk.vbe";"发现病毒 VBS/Worm.BE";"已移至病毒库"
"";"C:\Users\Administrator\Downloads\新建文件夹.rar:\002gangsir.cn.vbe";"发现病毒 VBS/Worm.BE";"已移至病毒库"


下次把360的木马防火墙调到手动模式即可

PS,360网盾报毒
回复

举报

zuo
发表于 2011-1-9 12:51:41 | 显示全部楼层
2011-1-9 12:49:48    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\ond.vbe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows; *.*

2011-1-9 12:49:49    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:49    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:49    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:49    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:49    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:49    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:49    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:49    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:49    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:49    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:51    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-9 12:49:51    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:51    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:51    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:51    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:51    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:51    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:51    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:52    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:52    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:52    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:52    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:52    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:52    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:52    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:52    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:52    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:52    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:52    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:53    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-9 12:49:53    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:53    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:53    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:53    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:53    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:53    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:53    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:53    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:53    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\淘宝热卖.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:53    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:53    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:53    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:54    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:54    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:54    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:54    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\「开始」菜单\淘宝热卖.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:54    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:54    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:54    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:54    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:55    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-9 12:49:56    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:56    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:56    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:56    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:56    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:56    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:57    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-9 12:49:57    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:57    创建新进程    阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-9 12:49:57    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:57    修改注册表值    阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-9 12:49:57    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:57    创建新进程    阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-9 12:49:57    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon
值: 0x00000001(1)
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoInternetIcon

2011-1-9 12:49:58    创建注册表项    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-9 12:49:59    创建注册表项    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-9 12:49:59    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoInternetIcon
值: 0x00000001(1)
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoInternetIcon

2011-1-9 12:49:59    创建文件    阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\ond.vbe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows; *.*

2011-1-9 12:49:59    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:49:59    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:49:59    底层键盘操作    阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-9 12:49:59    底层键盘操作    阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-9 12:50:00    底层键盘操作    阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-9 12:50:00    底层键盘操作    阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-9 12:50:00    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\ond.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\bnc.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:00    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:00    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\新建文件夹\002gangsir.cn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:03    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\ond.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\bnc.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:03    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:03    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\新建文件夹\002gangsir.cn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:07    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\ond.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\bnc.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:07    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:07    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\新建文件夹\002gangsir.cn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:10    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\ond.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\bnc.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:10    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:10    修改注册表值    阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\新建文件夹\002gangsir.cn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-9 12:50:14    创建文件    阻止并结束进程
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

回复

举报

comicwm
发表于 2011-1-9 14:11:18 | 显示全部楼层
本帖最后由 comicwm 于 2011-1-9 14:11 编辑

漏了俩图标,真正的威胁全拦住了,楼主证明了360对未知病毒的强大
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 00:41 , Processed in 0.149963 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表