鬼影3 样本

显示全部楼层 · 发表于 2011-6-6 21:57:32

三生缘石发表于 2011-6-6 21:36
你没解压吧。。
压缩包有密码的。。。
C:\Users\微亿毫\Desktop\鬼影3\mb.exe - Win32/Ghodow.NAG troj ...

有解压的只是当时没更新病毒库汗

显示全部楼层 · 发表于 2011-6-6 21:59:19

393011735 发表于 2011-6-6 21:57
有解压的只是当时没更新病毒库汗

好吧

显示全部楼层 · 发表于 2011-6-6 22:46:08

显示全部楼层 · 发表于 2011-6-7 10:10:48

人家是怎么得到日志...

-------------------------------
2011-6-7 09:41:40 c:\program files\internet explorer\iexplore.exe 向其他进程发送消息 c:\windows\explorer.exe 允许 [应用程序]* 消息: WM_DDE_EXECUTE
2011-6-7 09:41:49 c:\windows\explorer.exe 创建新进程 c:\program files\winrar\winrar.exe 允许 [应用程序]* 命令行: "C:\Program Files\WinRAR\WinRAR.exe" x -iext -ow -ver -- "E:\DownLoads\tngqlujo.rar" "?\"
2011-6-7 09:42:02 c:\program files\winrar\winrar.exe 创建文件 E:\DownLoads\tngqlujo\tngqlujo.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys
2011-6-7 09:46:08 c:\program files\internet explorer\iexplore.exe 向其他进程发送消息 c:\windows\explorer.exe 允许 [应用程序]* 消息: WM_DDE_EXECUTE
2011-6-7 09:46:14 c:\windows\explorer.exe 创建新进程 c:\program files\winrar\winrar.exe 允许 [应用程序]* 命令行: "C:\Program Files\WinRAR\WinRAR.exe" x -iext -ow -ver -- "E:\DownLoads\鬼影3.zip" "?\"
2011-6-7 09:46:33 c:\program files\winrar\winrar.exe 创建文件 E:\DownLoads\鬼影3\mb.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe
2011-6-7 09:47:06 c:\windows\explorer.exe 创建新进程 e:\downloads\鬼影3\mb.exe 允许 [应用程序]* 命令行: "E:\DownLoads\鬼影3\mb.exe"
2011-6-7 09:47:17 e:\downloads\鬼影3\mb.exe 底层磁盘读操作 \Device\Harddisk0\DR0 允许 [应用程序]*
2011-6-7 09:47:21 e:\downloads\鬼影3\mb.exe 底层磁盘写操作 \Device\Harddisk0\DR0 允许 [应用程序]*
2011-6-7 09:47:27 e:\downloads\鬼影3\mb.exe 底层磁盘写操作 \Device\Harddisk0\DR0 允许 [应用程序]*
2011-6-7 09:47:30 e:\downloads\鬼影3\mb.exe 底层磁盘写操作 \Device\Harddisk0\DR0 允许 [应用程序]*
2011-6-7 09:47:34 e:\downloads\鬼影3\mb.exe 创建文件 E:\DownLoads\鬼影3\hello_tt.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys
2011-6-7 09:47:38 c:\windows\system32\services.exe 创建注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
2011-6-7 09:47:44 c:\windows\system32\services.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\Start 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start 值: 0x00000003(3)
2011-6-7 09:47:49 c:\windows\system32\services.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\ImagePath 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath 值: \??\E:\DownLoads\鬼影3\hello_tt.sys
2011-6-7 09:47:56 c:\windows\system32\services.exe 加载驱动程序 e:\downloads\鬼影3\hello_tt.sys 允许 [应用程序]c:\windows\system32\services.exe
2011-6-7 09:48:06 e:\downloads\鬼影3\mb.exe 删除文件 E:\DownLoads\鬼影3\hello_tt.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys
2011-6-7 09:48:15 c:\windows\system32\winlogon.exe 创建文件 C:\WINDOWS\system32\drivers\beep.sys 阻止 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys
2011-6-7 09:48:23 e:\downloads\鬼影3\mb.exe 创建新进程 c:\alg.exe 允许 [应用程序]* 命令行: C:\alg.exe
2011-6-7 09:48:32 c:\alg.exe 底层磁盘读操作 \Device\Harddisk0\DR0 允许 [应用程序]*
2011-6-7 09:48:35 c:\alg.exe 修改文件 C:\alg.exe 允许 [文件]?:\
2011-6-7 09:48:41 c:\alg.exe 访问网络 UDP [本机 : 1612] ->  [127.0.0.1 : 1612] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:48:46 c:\alg.exe 访问网络 TCP [本机 : 1613] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:48:50 c:\alg.exe 访问网络 TCP [本机 : 1616] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:48:55 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000010-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:48:57 c:\alg.exe 访问网络 TCP [本机 : 1617] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:00 c:\alg.exe 访问网络 TCP [本机 : 1618] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:04 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000011-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:06 c:\alg.exe 访问网络 TCP [本机 : 1619] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:08 c:\alg.exe 访问网络 TCP [本机 : 1620] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:09 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000013-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:10 c:\alg.exe 访问网络 TCP [本机 : 1621] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:11 c:\alg.exe 访问网络 TCP [本机 : 1622] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:12 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000014-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:13 c:\alg.exe 访问网络 TCP [本机 : 1623] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:14 c:\alg.exe 访问网络 TCP [本机 : 1624] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:16 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000015-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:17 c:\alg.exe 访问网络 TCP [本机 : 1625] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:18 c:\alg.exe 访问网络 TCP [本机 : 1626] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:18 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000016-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:20 c:\alg.exe 访问网络 TCP [本机 : 1627] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:21 c:\alg.exe 访问网络 TCP [本机 : 1628] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:22 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000017-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:23 c:\alg.exe 访问网络 TCP [本机 : 1629] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:24 c:\alg.exe 访问网络 TCP [本机 : 1630] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:25 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000018-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:25 c:\alg.exe 访问网络 TCP [本机 : 1631] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:26 c:\alg.exe 访问网络 TCP [本机 : 1632] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:27 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000019-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:28 c:\alg.exe 访问网络 TCP [本机 : 1633] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:29 c:\alg.exe 访问网络 TCP [本机 : 1634] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:29 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:30 c:\alg.exe 访问网络 TCP [本机 : 1637] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:31 c:\alg.exe 访问网络 TCP [本机 : 1638] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:32 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000100-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:33 c:\alg.exe 访问网络 TCP [本机 : 1639] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:34 c:\alg.exe 访问网络 TCP [本机 : 1640] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:34 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000101-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:35 c:\alg.exe 访问网络 TCP [本机 : 1641] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:35 c:\alg.exe 访问网络 TCP [本机 : 1642] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:36 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000103-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:37 c:\alg.exe 访问网络 TCP [本机 : 1643] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:38 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000104-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:39 c:\alg.exe 访问网络 TCP [本机 : 1644] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:39 c:\alg.exe 访问网络 TCP [本机 : 1645] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:40 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000105-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:40 c:\alg.exe 访问网络 TCP [本机 : 1646] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:41 c:\alg.exe 访问网络 TCP [本机 : 1647] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:42 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000106-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:42 c:\alg.exe 访问网络 TCP [本机 : 1648] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:43 c:\alg.exe 访问网络 TCP [本机 : 1649] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:44 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000107-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:45 c:\alg.exe 访问网络 TCP [本机 : 1650] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:45 c:\alg.exe 访问网络 TCP [本机 : 1651] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:46 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000108-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:46 c:\alg.exe 访问网络 TCP [本机 : 1652] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:47 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000109-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:47 c:\alg.exe 访问网络 TCP [本机 : 1653] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:48 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000300-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:48 c:\alg.exe 访问网络 TCP [本机 : 1654] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:49 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000301-A8F2-4877-BA0A-FD2B6645FB94}\InProcServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:50 c:\alg.exe 访问网络 TCP [本机 : 1655] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:50 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000303-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:51 c:\alg.exe 访问网络 TCP [本机 : 1656] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:51 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000304-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:52 c:\alg.exe 访问网络 TCP [本机 : 1657] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:52 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000305-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:53 c:\alg.exe 访问网络 TCP [本机 : 1658] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:53 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000306-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:54 c:\alg.exe 访问网络 TCP [本机 : 1659] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:54 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000308-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:55 c:\alg.exe 访问网络 TCP [本机 : 1660] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:55 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000309-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:56 c:\alg.exe 访问网络 TCP [本机 : 1661] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:56 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000030B-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:57 c:\alg.exe 访问网络 TCP [本机 : 1662] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:57 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000315-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:58 c:\alg.exe 访问网络 TCP [本机 : 1663] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:58 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000316-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:49:59 c:\alg.exe 访问网络 TCP [本机 : 1664] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:49:59 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000319-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:03 c:\alg.exe 访问网络 TCP [本机 : 1665] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:06 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000031A-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:07 c:\alg.exe 访问网络 TCP [本机 : 1666] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:07 c:\windows\system32\winlogon.exe 创建文件 C:\WINDOWS\system32\drivers\beep.sys 阻止 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys
2011-6-7 09:50:09 c:\alg.exe 访问网络 TCP [本机 : 1667] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:09 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000031D-0000-0000-C000-000000000046}\InProcServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:10 c:\alg.exe 访问网络 TCP [本机 : 1668] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:10 c:\alg.exe 访问网络 TCP [本机 : 1669] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:11 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000320-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:12 c:\alg.exe 访问网络 TCP [本机 : 1670] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:13 c:\alg.exe 访问网络 TCP [本机 : 1671] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:14 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000327-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:15 c:\alg.exe 访问网络 TCP [本机 : 1672] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:16 c:\alg.exe 访问网络 TCP [本机 : 1673] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:16 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000032E-0000-0000-C000-000000000046}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:16 c:\alg.exe 访问网络 TCP [本机 : 1674] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:17 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000507-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:17 c:\alg.exe 访问网络 TCP [本机 : 1675] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:18 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000050B-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:19 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000514-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:19 c:\alg.exe 访问网络 TCP [本机 : 1676] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:20 c:\alg.exe 访问网络 TCP [本机 : 1677] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:20 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000535-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:21 c:\alg.exe 访问网络 TCP [本机 : 1678] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:21 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000541-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:22 c:\alg.exe 访问网络 TCP [本机 : 1679] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:23 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000542-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:23 c:\alg.exe 访问网络 TCP [本机 : 1680] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:24 c:\alg.exe 访问网络 TCP [本机 : 1681] ->  [112.123.131.105 : 83] 阻止 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:24 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000560-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:28 c:\alg.exe 访问网络 TCP [本机 : 1682] ->  [112.123.131.105 : 83] 阻止并结束进程 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-6-7 09:50:31 c:\alg.exe 修改注册表项权限 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32 阻止并结束进程 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32
2011-6-7 09:50:35 c:\alg.exe 访问网络 TCP [本机 : 1683] ->  [112.123.131.105 : 83] 阻止并结束进程 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2011-6-7 10:17:27

金山卫士没报。。。我晕晕晕

显示全部楼层 · 发表于 2011-6-7 10:17:40

Love=卡巴+费尔发表于 2011-6-6 22:46

这是神马

显示全部楼层 · 发表于 2011-6-7 10:29:12

2011-6-7 09:41:40 向其他进程发送消息允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\explorer.exe
消息: WM_DDE_EXECUTE
规则: [应用程序]*

2011-6-7 09:41:49 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\program files\winrar\winrar.exe
命令行: "C:\Program Files\WinRAR\WinRAR.exe" x -iext -ow -ver -- "E:\DownLoads\tngqlujo.rar" "?\"
规则: [应用程序]*

2011-6-7 09:42:02 创建文件允许
进程: c:\program files\winrar\winrar.exe
目标: E:\DownLoads\tngqlujo\tngqlujo.sys
规则: [文件组]所有执行文件 -> [文件]*; *.sys

2011-6-7 09:46:08 向其他进程发送消息允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\explorer.exe
消息: WM_DDE_EXECUTE
规则: [应用程序]*

2011-6-7 09:46:14 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\program files\winrar\winrar.exe
命令行: "C:\Program Files\WinRAR\WinRAR.exe" x -iext -ow -ver -- "E:\DownLoads\鬼影3.zip" "?\"
规则: [应用程序]*

2011-6-7 09:46:33 创建文件允许
进程: c:\program files\winrar\winrar.exe
目标: E:\DownLoads\鬼影3\mb.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-6-7 09:47:06 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\鬼影3\mb.exe
命令行: "E:\DownLoads\鬼影3\mb.exe"
规则: [应用程序]*

2011-6-7 09:47:17 底层磁盘读操作允许
进程: e:\downloads\鬼影3\mb.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-6-7 09:47:21 底层磁盘写操作允许
进程: e:\downloads\鬼影3\mb.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-6-7 09:47:27 底层磁盘写操作允许
进程: e:\downloads\鬼影3\mb.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-6-7 09:47:30 底层磁盘写操作允许
进程: e:\downloads\鬼影3\mb.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-6-7 09:47:34 创建文件允许
进程: e:\downloads\鬼影3\mb.exe
目标: E:\DownLoads\鬼影3\hello_tt.sys
规则: [文件组]所有执行文件 -> [文件]*; *.sys

2011-6-7 09:47:38 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-7 09:47:44 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-6-7 09:47:49 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\ImagePath
值: \??\E:\DownLoads\鬼影3\hello_tt.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2011-6-7 09:47:56 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: e:\downloads\鬼影3\hello_tt.sys
规则: [应用程序]c:\windows\system32\services.exe

2011-6-7 09:48:06 删除文件允许
进程: e:\downloads\鬼影3\mb.exe
目标: E:\DownLoads\鬼影3\hello_tt.sys
规则: [文件组]所有执行文件 -> [文件]*; *.sys

2011-6-7 09:48:15 创建文件阻止
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-6-7 09:48:23 创建新进程允许
进程: e:\downloads\鬼影3\mb.exe
目标: c:\alg.exe
命令行: C:\alg.exe
规则: [应用程序]*

2011-6-7 09:48:32 底层磁盘读操作允许
进程: c:\alg.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-6-7 09:48:35 修改文件允许
进程: c:\alg.exe
目标: C:\alg.exe
规则: [文件]?:\

2011-6-7 09:48:41 访问网络允许
进程: c:\alg.exe
目标: UDP [本机 : 1612] ->  [127.0.0.1 : 1612]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:48:46 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1613] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:48:50 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1616] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:48:55 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000010-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:48:57 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1617] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:00 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1618] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:04 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000011-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:06 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1619] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:08 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1620] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:09 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000013-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:10 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1621] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:11 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1622] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:12 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000014-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:13 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1623] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:14 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1624] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:16 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000015-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:17 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1625] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:18 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1626] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:18 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000016-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:20 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1627] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:21 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1628] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:22 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000017-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:23 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1629] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:24 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1630] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:25 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000018-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:25 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1631] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:26 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1632] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:27 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000019-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:28 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1633] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:29 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1634] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:29 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:30 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1637] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:31 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1638] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:32 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000100-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:33 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1639] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:34 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1640] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:34 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000101-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:35 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1641] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:35 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1642] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:36 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000103-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:37 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1643] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:38 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000104-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:39 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1644] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:39 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1645] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:40 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000105-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:40 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1646] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:41 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1647] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:42 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000106-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:42 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1648] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:43 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1649] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:44 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000107-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:45 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1650] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:45 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1651] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:46 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000108-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:46 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1652] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:47 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000109-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:47 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1653] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:48 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000300-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:48 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1654] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:49 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000301-A8F2-4877-BA0A-FD2B6645FB94}\InProcServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:50 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1655] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:50 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000303-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:51 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1656] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:51 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000304-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:52 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1657] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:52 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000305-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:53 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1658] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:53 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000306-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:54 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1659] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:54 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000308-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:55 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1660] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:55 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000309-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:56 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1661] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:56 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000030B-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:57 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1662] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:57 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000315-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:58 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1663] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:58 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000316-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:49:59 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1664] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:49:59 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000319-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:03 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1665] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:06 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000031A-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:07 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1666] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:07 创建文件阻止
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-6-7 09:50:09 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1667] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:09 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000031D-0000-0000-C000-000000000046}\InProcServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:10 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1668] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:10 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1669] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:11 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000320-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:12 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1670] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:13 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1671] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:14 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000327-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:15 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1672] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:16 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1673] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:16 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000032E-0000-0000-C000-000000000046}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:16 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1674] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:17 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000507-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:17 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1675] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:18 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000050B-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:19 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000514-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:19 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1676] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:20 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1677] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:20 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000535-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:21 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1678] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:21 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000541-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:22 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1679] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:23 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000542-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:23 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1680] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:24 访问网络阻止
进程: c:\alg.exe
目标: TCP [本机 : 1681] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:24 修改注册表项权限阻止
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000560-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:28 访问网络阻止并结束进程
进程: c:\alg.exe
目标: TCP [本机 : 1682] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:50:31 修改注册表项权限阻止并结束进程
进程: c:\alg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000566-0000-0010-8000-00AA006D2EA4}\InprocServer32
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\*\InProcServer32

2011-6-7 09:50:35 访问网络阻止并结束进程
进程: c:\alg.exe
目标: TCP [本机 : 1683] ->  [112.123.131.105 : 83]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-6-7 09:51:04 创建新进程允许
进程: c:\windows\explorer.exe
目标: f:\tools\chkfile\chkmbr\sectoreditor\sectoreditor\sector editor.pif
命令行: "F:\tools\CHKFile\CHKMBR\SectorEditor\SectorEditor\Sector Editor.pif"
规则: [应用程序]*

2011-6-7 09:51:06 创建文件允许
进程: f:\tools\chkfile\chkmbr\sectoreditor\sectoreditor\sector editor.pif
目标: C:\WINDOWS\system32\Drivers\sedisk.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-6-7 09:51:07 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-7 09:51:07 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-6-7 09:51:08 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK\ImagePath
值: \??\C:\WINDOWS\system32\Drivers\sedisk.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2011-6-7 09:51:09 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\sedisk.sys
规则: [应用程序]c:\windows\system32\services.exe

2011-6-7 09:51:15 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-6-7 09:51:17 删除注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-7 09:53:15 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\notepad.exe
命令行: "C:\WINDOWS\System32\NOTEPAD.EXE" E:\DownLoads\鬼影3\新建文本文档.txt
规则: [应用程序]*

2011-6-7 09:53:48 创建新进程允许
进程: c:\windows\system32\winlogon.exe
目标: c:\windows\system32\taskmgr.exe
命令行: taskmgr.exe
规则: [应用程序]*

2011-6-7 09:53:50 向其他进程发送消息允许
进程: c:\windows\system32\taskmgr.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_GETICON
规则: [应用程序]*

2011-6-7 09:53:51 向其他进程发送消息允许
进程: c:\windows\system32\taskmgr.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_GETICON
规则: [应用程序]*

2011-6-7 09:59:53 修改注册表值阻止
进程: c:\windows\ime\imjp8_1\imjpmig.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
值: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders; *Startup

2011-6-7 10:00:00 修改注册表值阻止
进程: c:\program files\iobit\advanced systemcare 4\autosweep.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

2011-6-7 10:00:21 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\lsass.exe
句柄: (File) \Device\Afd\Endpoint
规则: [应用程序]c:\windows\system32\svchost.exe

2011-6-7 10:00:22 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\lsass.exe
句柄: (File) \Device\Afd\Endpoint
规则: [应用程序]c:\windows\system32\svchost.exe

2011-6-7 10:00:36 创建新进程允许
进程: c:\windows\explorer.exe
目标: f:\tools\chkfile\chkmbr\sectoreditor\sectoreditor\sector editor.pif
命令行: "F:\tools\CHKFile\CHKMBR\SectorEditor\SectorEditor\Sector Editor.pif"
规则: [应用程序]*

2011-6-7 10:00:38 修改文件允许
进程: f:\tools\chkfile\chkmbr\sectoreditor\sectoreditor\sector editor.pif
目标: C:\WINDOWS\system32\drivers\sedisk.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-6-7 10:00:41 创建注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-7 10:00:43 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-6-7 10:00:45 修改注册表值允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK\ImagePath
值: \??\C:\WINDOWS\system32\Drivers\sedisk.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2011-6-7 10:00:47 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\sedisk.sys
规则: [应用程序]c:\windows\system32\services.exe

2011-6-7 10:00:53 修改注册表值阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK\Start
值: 0x00000004(4)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2011-6-7 10:00:55 删除注册表项允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SEDISK
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-6-7 10:01:30 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\notepad.exe
命令行: "C:\WINDOWS\System32\NOTEPAD.EXE" E:\DownLoads\鬼影3\新建文本文档.txt
规则: [应用程序]*

2011-6-7 10:05:52 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\notepad.exe
命令行: "C:\WINDOWS\System32\NOTEPAD.EXE" E:\DownLoads\鬼影3\新建文本文档.txt
规则: [应用程序]*

-----

显示全部楼层 · 发表于 2011-6-7 11:03:10

ywsuda 发表于 2011-6-7 10:17
这是神马

Ashampoo Anti-Malware

显示全部楼层 · 发表于 2011-6-7 11:25:32

本帖最后由 cliuyou 于 2011-6-7 11:26 编辑

wakin 发表于 2011-6-7 10:17
金山卫士没报。。。我晕晕晕

金山卫士报了。。。

显示全部楼层 · 发表于 2011-6-7 11:54:52

cliuyou 发表于 2011-6-7 11:25
金山卫士报了。。。

压缩包没报。。好像要解压出来才报

[病毒样本] 鬼影3 样本

本帖子中包含更多资源

本帖子中包含更多资源