hxxp://tompedurante.com/d.php?f=18&e=6j

显示全部楼层 · 发表于 2011-8-28 16:08:08

三生缘石发表于 2011-8-28 16:06
猜到了。
强大的web启发。。

嗯，不过从杀软的角度上来说启发的强度完全是可调的，也就是说要弄出一个诸如npe检测率的东西并不难，关键是如何在保证高查杀的情况下控制误报，这个平衡点不好找

显示全部楼层 · 发表于 2011-8-28 16:10:22

bbs2811125 发表于 2011-8-28 16:08
嗯，不过从杀软的角度上来说启发的强度完全是可调的，也就是说要弄出一个诸如npe检测率的东西并不难，关键 ...

恩，这点很重要。
误报是杀软的大忌。
不过ESET还是控制的不错的

显示全部楼层 · 发表于 2011-8-28 16:14:04

三生缘石发表于 2011-8-28 16:10
恩，这点很重要。
误报是杀软的大忌。
不过ESET还是控制的不错的

的确是，BD系也不错
就误报控制来说目前最好的应该就是这两个，别的都有点偏高
诺顿要是不算sonar还是不错的，mse相对来说用的不是太频繁没什么太深的印象

显示全部楼层 · 发表于 2011-8-28 16:25:56

本帖最后由三生缘石于 2011-8-28 16:26 编辑

bbs2811125 发表于 2011-8-28 16:14
的确是，BD系也不错
就误报控制来说目前最好的应该就是这两个，别的都有点偏高
诺顿要是不算sonar还是不 ...

综合征啊。。。。
我就用过几款杀软，最后还是定在ESET上。。。
mse刚出来时用过，更新病毒的速度让我崩溃，卸载掉。不知道现在的引擎怎么样了。
BD没用过
卡巴装过嫌卡
诺顿也没转过，但用过NPE
还用过国产的杀软，最后统统卸载。。。也许是对国产的不放心，不信任所致

我们几乎已经3年没有面对真正有威胁的病毒和木马。现在病毒和木马的确是天天都有但是只有数量没有质量。真正恶性病毒从熊猫，金猪能后再也没有出现。我们安全软件再也没有经过全方位的检验了。当没有安全威胁后技术进步已经不在是推动软件升级的关键，大家开始玩概念玩炒作。
用户非常浮躁不再关心安全技术，所有安全都依靠自己机器里某款不花钱的软件保护，实际有多安全自己都不知道，只要账号不丢，就是好软件，只要杀毒软件不报警自己就安全。没人再在意什么网络安全了，安全社区没有技术帖子了，因为超过100字帖子就没人有耐心关注。有问题就知道抱怨，从来就不想自己如何解决！

卡卡论坛tom2000版主的话（在某地方看到的）

显示全部楼层 · 发表于 2011-8-28 16:30:04

三生缘石发表于 2011-8-28 16:25
综合征啊。。。。
我就用过几款杀软，最后还是定在ESET上。。。
mse刚出来时用过，更新病毒的速度让我 ...

MSE现在比之前好些了，但是处理病毒还是老样子很慢，扫描速度上也一般般
卡巴和诺顿不符合我的胃口，每次都是兴冲冲的装上郁闷的卸载
BD原版不如oem它引擎的用户体验好，Fs和GD就是比较好的BD系软件。

显示全部楼层 · 发表于 2011-8-28 16:31:02

金山杀

显示全部楼层 · 发表于 2011-8-28 16:38:37

bbs2811125 发表于 2011-8-28 16:30
MSE现在比之前好些了，但是处理病毒还是老样子很慢，扫描速度上也一般般
卡巴和诺顿不符合我的胃口，每次 ...

还是习惯用ESET

犯综合征时到样本区下载几十个样本，禁用杀软，挨个双击。再安装别的杀软，统统扫描一遍。最后重装系统（我干过1次）

下次犯病时试试BD看看。

显示全部楼层 · 发表于 2011-8-28 16:42:02

2011/8/28 16:37:46 创建新进程允许
进程: c:\users\pydn1\appdata\local\temp\rar$ex01.813\readme.exe
目标: c:\windows\system32\svchost.exe
命令行: C:\Windows\system32\svchost.exe
规则: [应用程序]* -> [子应用程序]a090_行为防2

2011/8/28 16:37:50 创建新进程允许
进程: c:\users\pydn1\appdata\local\temp\rar$ex01.813\readme.exe
目标: c:\windows\system32\svchost.exe
命令行: C:\Windows\system32\svchost.exe
规则: [应用程序]* -> [子应用程序]a090_行为防2

2011/8/28 16:37:50 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wininit.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wininit.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\services.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\services.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\lsass.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\lsass.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\lsm.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:37:50 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\lsm.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:38:05 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\ksafe\ksafesvc.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:38:10 创建文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:38:10 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\spoolsv.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:38:10 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\spoolsv.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:38:12 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\common files\adobe\arm\1.0\armsvc.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:38:19 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:38:34 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\malware defender\mdservice.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:38:49 创建注册表项阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Micorsoft Windows Service
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services

2011/8/28 16:38:56 修改文件允许
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:09 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\windows media player\wmpnetwk.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:11 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:12 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\windows media player\wmpnetwk.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:12 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:12 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\windows media player\wmpnetwk.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:13 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\windows media player\wmpnetwk.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:13 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\searchindexer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\searchindexer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\taskeng.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:13 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\malware defender\malwaredefender.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:14 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [目标应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:39:14 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:14 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\wrar350sc_onegreen\winrar.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:14 修改文件阻止
进程: c:\windows\system32\svchost.exe
目标: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件]*; *.exe

2011/8/28 16:39:15 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
值: C:\Windows\system32\userinit.exe,,C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r010_行为防御 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Userinit

2011/8/28 16:39:15 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NsvOpvlf
值: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r005_阻止项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011/8/28 16:39:16 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
值: 0x00000000(0)
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2011/8/28 16:39:18 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
值: C:\Windows\system32\userinit.exe,,C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r010_行为防御 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Userinit

2011/8/28 16:39:18 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NsvOpvlf
值: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r005_阻止项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011/8/28 16:39:19 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
值: 0x00000000(0)
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2011/8/28 16:39:21 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\common files\adobe\arm\1.0\armsvc.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:22 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
值: C:\Windows\system32\userinit.exe,,C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r010_行为防御 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Userinit

2011/8/28 16:39:23 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\malware defender\mdservice.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:23 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NsvOpvlf
值: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r005_阻止项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011/8/28 16:39:23 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
值: 0x00000000(0)
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2011/8/28 16:39:23 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\windows media player\wmpnetwk.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:24 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\malware defender\malwaredefender.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:26 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
值: C:\Windows\system32\userinit.exe,,C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r010_行为防御 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Userinit

2011/8/28 16:39:26 修改其他进程的内存阻止
进程: c:\windows\system32\svchost.exe
目标: c:\wrar350sc_onegreen\winrar.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:26 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\NsvOpvlf
值: C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r005_阻止项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2011/8/28 16:39:27 修改注册表值阻止
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
值: 0x00000000(0)
规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

2011/8/28 16:39:27 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\searchprotocolhost.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:27 在其他进程中创建线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\searchfilterhost.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:27 结束其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\searchfilterhost.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:34 修改注册表值阻止并结束进程
进程: c:\windows\system32\svchost.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
值: C:\Windows\system32\userinit.exe,,C:\Users\pydn1\AppData\Local\fmecfscr\nsvopvlf.exe
规则: [注册表组]r010_行为防御 -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Userinit

2011/8/28 16:39:39 修改其他进程的内存阻止并结束进程
进程: c:\windows\system32\svchost.exe
目标: c:\program files\common files\adobe\arm\1.0\armsvc.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:39 修改其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\pydn1\appdata\local\temp\rar$ex01.813\readme.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2011/8/28 16:39:42 创建新进程阻止并结束进程
进程: c:\users\pydn1\appdata\local\temp\rar$ex01.813\readme.exe
目标: c:\windows\system32\svchost.exe
命令行: C:\Windows\system32\svchost.exe
规则: [应用程序]* -> [子应用程序]a090_行为防2

2011/8/28 16:39:52 创建文件允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Users\pydn1\AppData\LocalLow\webxunleiInside\2AC1EF3916D948ed97A0B1D03F2D3520.db-journal
规则: [文件]c:\users\*\appdata\*\*

2011/8/28 16:39:57 创建文件允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Windows\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
规则: [应用程序组]a070_系统程序 -> [应用程序]c:\program files\internet explorer\iexplore.exe -> [文件]c:\windows\downloaded program files; *.exe

2011/8/28 16:39:57 创建新进程允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\downloaded program files\fp_ax_cab_installer.exe
命令行: "C:\Windows\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe" /RegServer
规则: [应用程序组]a070_系统程序 -> [应用程序]c:\program files\internet explorer\iexplore.exe -> [子应用程序]c:\windows\downloaded program files\*

2011/8/28 16:40:09 修改其他进程的线程允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\downloaded program files\fp_ax_cab_installer.exe
规则: [应用程序组]a070_系统程序 -> [应用程序]c:\program files\internet explorer\iexplore.exe

2011/8/28 16:40:09 创建文件允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\Users\pydn1\AppData\LocalLow\webxunleiInside\2AC1EF3916D948ed97A0B1D03F2D3520.db-journal
规则: [文件]c:\users\*\appdata\*\*

显示全部楼层 · 发表于 2011-8-28 16:42:09

Panda Cloud PRO 启发

显示全部楼层 · 发表于 2011-8-28 17:22:06

hddu 发表于 2011-8-28 15:18
2011-08-28 15:11:53 运行应用程序操作:允许
进程路径:F:\virus\readme\readme.exe
文件路径:C: ...

规则是不是被过了？请看18楼。

[病毒样本] hxxp://tompedurante.com/d.php?f=18&e=6j