收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 几个小东西,给行为分析党的礼物
1234下一页
返回列表 发新帖
楼主: htm123
 收起左侧

[病毒样本] 几个小东西,给行为分析党的礼物

[复制链接]
智琛
发表于 2011-10-4 22:10:10 | 显示全部楼层
hx1997 发表于 2011-10-4 22:09
搞定了啊,可是我觉得这样实用性会降低吧,系统目录直接禁止操作了。

不知道。他的规则可能还不兼容WIN7哦
回复

举报

hx1997
发表于 2011-10-4 22:11:00 | 显示全部楼层
黄智琛 发表于 2011-10-4 22:10
不知道。他的规则可能还不兼容WIN7哦

我的绝对兼容。
等会我试一下,也有可能兼容的呢。
回复

举报

智琛
发表于 2011-10-4 22:11:31 | 显示全部楼层
本帖最后由 黄智琛 于 2011-10-4 22:11 编辑
hx1997 发表于 2011-10-4 22:11
我的绝对兼容。
等会我试一下,也有可能兼容的呢。


好。期待他的规则再更新
回复

举报

hx1997
发表于 2011-10-4 22:12:32 | 显示全部楼层
黄智琛 发表于 2011-10-4 22:11
好。期待他的规则再更新

期待完善,可以拿来学习
回复

举报

hx1997
发表于 2011-10-4 22:31:37 | 显示全部楼层
本帖最后由 hx1997 于 2011-10-4 22:31 编辑

感谢此包,改进下规则。果然好礼。
回复

举报

s8706042
发表于 2011-10-4 22:56:28 | 显示全部楼层
Send to tm(趨勢)
剩2
回复

举报

hddu
发表于 2011-10-4 23:43:52 | 显示全部楼层
2011-10-04 23:18:38    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
文件路径:C:\WINDOWS\system32\F8nuc.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-04 23:18:38    修改文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\F8nuc.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-04 23:18:38    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
文件路径:C:\WINDOWS\system32\F8Gtbc20.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-10-04 23:18:38    修改文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
文件路径:C:\WINDOWS\system32\F8Gtbc20.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-10-04 23:18:38    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
文件路径:C:\WINDOWS\system32\F8Gtbc10.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-10-04 23:18:39    修改文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\F8Gtbc10.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-10-04 23:18:42    创建注册表值      操作:阻止
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:F8bdc
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-10-04 23:18:42    修改其它进程内存      操作:阻止
进程路径:F:\virus\2011年10月4日-2\jackforer.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2011-10-04 23:19:37    修改文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\win.ini
触发规则:所有程序规则->需要保护的文件->%windir%\win.ini


2011-10-04 23:19:37    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\mLwsimK.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe


2011-10-04 23:19:38    运行应用程序      操作:允许
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\mLwsimK.exe
触发规则:应用程序规则->自动创建规则->?:\*


2011-10-04 23:19:38    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\system32\vhSnl.IHc
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-04 23:19:38    创建文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\system32\mshtml.dll.mod
触发规则:所有程序规则->WINDOWS多扩展名设置(二)->%windir%\system32\*.dll.*


2011-10-04 23:19:38    创建文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\system32\mshtml.dll.mod
触发规则:所有程序规则->WINDOWS多扩展名设置(二)->%windir%\system32\*.dll.*


2011-10-04 23:19:38    创建文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\system32\mshtml.dll.mod
触发规则:所有程序规则->WINDOWS多扩展名设置(二)->%windir%\system32\*.dll.*


2011-10-04 23:19:38    创建文件      操作:阻止并结束进程
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\system32\DllCache\mshtml.dllFdWkN
触发规则:所有程序规则->WINDOWS多扩展名设置(二)->*\*.dll*


2011-10-04 23:19:38    创建文件      操作:阻止
进程路径:F:\virus\2011年10月4日-2\wm03ab.exe
文件路径:C:\WINDOWS\system32\mshtml.dll.mod
触发规则:所有程序规则->WINDOWS多扩展名设置(二)->%windir%\system32\*.dll.*



回复

举报

hddu
发表于 2011-10-4 23:48:29 | 显示全部楼层
2011-10-04 23:44:57    创建注册表值      操作:阻止
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistryTools
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Policies\System


2011-10-04 23:45:02    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\WINDOWS\ShellNew
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-04 23:45:02    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\WINDOWS\ShellNew\ElnorB.exe
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-04 23:45:03    创建注册表值      操作:阻止
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Bron-Spizaetus
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-10-04 23:45:03    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2011-10-04 23:45:04    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\services.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2011-10-04 23:45:04    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\lsass.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2011-10-04 23:45:04    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\inetinfo.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2011-10-04 23:45:04    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\Documents and Settings\Administrator\Local Settings\Application Data\csrss.exe
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Local Settings\Application Data\*


2011-10-04 23:45:04    创建注册表值      操作:使用任务隔离区操作
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableCMD
触发规则:所有程序规则->其他重要项->*\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*


2011-10-04 23:45:04    修改注册表内容      操作:阻止
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoFolderOptions
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer


2011-10-04 23:45:06    创建注册表值      操作:阻止
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Tok-Cirrhatus
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-10-04 23:45:06    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2011-10-04 23:45:06    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2011-10-04 23:45:06    修改注册表内容      操作:使用任务隔离区操作
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2011-10-04 23:45:06    创建注册表值      操作:阻止
进程路径:F:\virus\2011年10月4日-2\目录.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistryTools
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Policies\System


2011-10-04 23:45:06    运行应用程序      操作:阻止
进程路径:F:\virus\2011年10月4日-2\目录.EXE
文件路径:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE


回复

举报

hddu
发表于 2011-10-4 23:55:04 | 显示全部楼层
2011-10-04 23:53:11    创建文件      操作:阻止
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\fonts\mgt06011.ttf
触发规则:所有程序规则->WINDOWS询问设置->%windir%\Fonts\*.ttf


2011-10-04 23:53:11    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\mgt06011.ocx
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.ocx


2011-10-04 23:53:11    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\mgt06011.ocx
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.ocx


2011-10-04 23:53:11    修改文件      操作:阻止
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\mgt06011.ocx
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.ocx


2011-10-04 23:53:11    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\mgt99008.ocx
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.ocx


2011-10-04 23:53:11    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\mgt99008.ocx
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.ocx


2011-10-04 23:53:11    修改文件      操作:阻止
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\mgt99008.ocx
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.ocx


2011-10-04 23:53:11    创建文件      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\jahjah06.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-10-04 23:53:11    修改其它进程内存      操作:阻止
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
目标进程:C:\WINDOWS\explorer.exe
触发规则:所有程序规则->*


2011-10-04 23:53:11    运行应用程序      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\jahjah06.exe
命令行:C:\WINDOWS\system32\mgt06011.ocx pfjaoidjglkajd F:\virus\2011年10月4日-1\fhmh02.exe
触发规则:应用程序规则->自动创建规则->?:\*


2011-10-04 23:53:11    运行应用程序      操作:允许
进程路径:F:\virus\2011年10月4日-1\fhmh02.exe
文件路径:C:\WINDOWS\system32\jahjah06.exe
命令行:C:\WINDOWS\system32\mgt99008.ocx pfjieaoidjglkajd
触发规则:应用程序规则->自动创建规则->?:\*


2011-10-04 23:53:17    删除文件      操作:允许
进程路径:C:\WINDOWS\system32\jahjah06.exe
文件路径:F:\virus\2011年10月4日-1\fhmh02.exe
触发规则:所有程序规则->全局设置->?:\*.exe


2011-10-04 23:53:19    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\jahjah06.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Keyboard Layouts\E0200804
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Keyboard Layouts*


2011-10-04 23:53:20    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\jahjah06.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Keyboard Layouts\E0200804
注册表名称:[Key]
触发规则:所有程序规则->系统设置->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Keyboard Layouts*


回复

举报

hddu
发表于 2011-10-5 00:15:44 | 显示全部楼层
2011-10-05 00:09:01    创建文件      操作:允许
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\system32\AB38EE\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    修改文件      操作:阻止
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\AB38EE
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    创建文件      操作:允许
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\system32\82EFAE\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    修改文件      操作:阻止
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\82EFAE
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    创建文件      操作:允许
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\system32\7CBE3E\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    修改文件      操作:阻止
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\7CBE3E
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    创建文件      操作:允许
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\system32\1FA88D\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    修改文件      操作:阻止
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\1FA88D
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:01    运行应用程序      操作:阻止
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\explorer.exe
命令行:F:\virus\4BE3B4[1]\4BE3B4
触发规则:所有程序规则->系统进程设置->%windir%\Explorer.EXE


2011-10-05 00:09:01    创建文件      操作:允许
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:02    运行应用程序      操作:允许
进程路径:F:\virus\4BE3B4[1]\4BE3B4.EXE
文件路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
触发规则:应用程序规则->自动创建规则->?:\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\AB38EE\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\AB38EE
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\82EFAE
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\7CBE3E\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\7CBE3E
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\1FA88D\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:(隐藏文件)C:\WINDOWS\system32\1FA88D
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\cnvpe.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\dp1.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\eAPI.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\EThread.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\HtmlView.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\iext.fnr
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\internet.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\krnln.fnr
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:04    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\shell.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:05    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\spec.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:05    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\WebBrowser2.fne
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:05    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\WINDOWS\system32\82EFAE\RegEx.fnr
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2011-10-05 00:09:05    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\AB38EE\A48E27.EXE
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\A48E27.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\启动\*.lnk


回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-8-22 02:17 , Processed in 0.110052 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表