收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 《过360双击》B09.exe
1234下一页
返回列表 发新帖
楼主: 貝殼
 收起左侧

[可疑文件] 《过360双击》B09.exe

  [复制链接]
zjf954
发表于 2012-5-12 11:56:25 | 显示全部楼层
360已经入库了
回复

举报

275751198
发表于 2012-5-12 11:58:06 | 显示全部楼层
360云鉴定报毒
文件信息
文件名称:C:\Users\Administrator\Desktop\新建文件夹 (2)\B09.exe
文件大小:
197 Kb
内部名称:
无内部名称
文件签名:
无文件签名信息
文件描述:
木马
文件MD5:
9fee7265f7fbe7ed7cc9759fa363e4f0
回复

举报

lbb9432
发表于 2012-5-12 12:02:12 | 显示全部楼层


拦截了就没反应了?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zhym91
发表于 2012-5-12 12:10:38 | 显示全部楼层
eset右键安全。。。。
回复

举报

bayern
发表于 2012-5-12 12:10:46 | 显示全部楼层
STOP! Bitdefender blocked this web page.
The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... ;aid=MTY0MTQ4NXw...
Detected viruses: Gen:Variant.Barys.2530
回复

举报

hddu
发表于 2012-5-12 12:35:42 | 显示全部楼层
省略创建服务项日志

2012-05-12 11:58:12    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\DQoNaLL.exe
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\*.exe


2012-05-12 11:58:13    创建注册表值      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WaooSvc
注册表名称:ImagePath
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-05-12 11:58:14    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\tdsskiller\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:58:14    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\tdsskiller\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:58:14    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\zwdosqdp.zip" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:58:15    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\zzYkxJi.exe
文件路径:C:\WINDOWS\system32\lib32waoo.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->$parent$\*


2012-05-12 11:58:17    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\unlockers.zip" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:58:17    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.090
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:58:18    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:58:19    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:58:19    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:58:19    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)F:\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:58:19    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\MSCOMCTL.zip" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:58:19    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\lib32waoo.exe
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\*.exe


2012-05-12 11:58:19    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\tdsskiller.zip" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:58:21    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\lib32waoo.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application
注册表名称:Sources
更改后:WSH
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-05-12 11:58:25    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\UhtGSrE.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%windir%\*


2012-05-12 11:58:26    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\zzYkxJi.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%windir%\*


2012-05-12 11:58:31    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\lib32waoo.exe
文件路径:C:\WINDOWS\system32\WWIUDQc.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2012-05-12 11:58:32    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\lib32waoo.exe
文件路径:C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OPQJ8P2F\A10[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe


2012-05-12 11:58:36    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\lib32waoo.exe
文件路径:C:\WINDOWS\system32\TfpOMxW.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2012-05-12 11:58:37    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\lib32waoo.exe
文件路径:C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GT6Z0DUF\B10[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe


2012-05-12 11:58:41    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\lib32waoo.exe
文件路径:C:\WINDOWS\system32\cmwVgEd.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2012-05-12 11:58:42    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\lib32waoo.exe
文件路径:C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\89MZ0PIR\C011[1].exe
触发规则:所有程序规则->IE临时文件夹设置->?:\Documents and Settings\*\Local Settings\Temporary Internet Files\*.exe


2012-05-12 11:58:45    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\WWIUDQc.exe
文件路径:C:\WINDOWS\System32\lib32waoo.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->$parent$\*


2012-05-12 11:58:49    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\WWIUDQc.exe
文件路径:C:\WINDOWS\System32\lib32waoo.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->$parent$\*


2012-05-12 11:58:53    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\WWIUDQc.exe
文件路径:C:\WINDOWS\System32\lib32waoo.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->$parent$\*


2012-05-12 11:58:55    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\WWIUDQc.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\lib32waoo.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->$parent$\*


2012-05-12 11:59:05    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:06    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:06    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\TfpOMxW.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%windir%\*


2012-05-12 11:59:06    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\BIOS_Backup_TooKit.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:06    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\WWIUDQc.exe
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->%windir%\*


2012-05-12 11:59:10    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\EQSysSecure.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:27    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.561
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:59:28    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.170
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:59:28    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:31    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\BIOS_Backup_TooKit\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:59:31    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\BIOS_Backup_TooKit\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:59:31    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:31    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\EQSysSecure4.1驱动.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:32    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\unlockers\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:59:33    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\unlockers\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:59:33    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\wywz.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:33    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.060
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:59:36    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\lib32waoo.exe
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\*.exe


2012-05-12 11:59:40    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\lib32waoo.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application
注册表名称:Sources
更改后:WSH
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-05-12 11:59:40    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:40    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:41    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\kavsetup0428_99_1\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:59:41    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)F:\kavsetup0428_99_1\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:59:42    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\IT168.com-115127safexp_xlong.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:42    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.080
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:59:49    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:49    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\XP服务优化.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:49    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\wywz\WYWZ\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:59:49    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\wywz\WYWZ\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:59:49    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.101
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:59:51    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:51    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "F:\Ghostexp.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:51    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\lib32waoo.exe
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\*.exe


2012-05-12 11:59:53    修改注册表内容      操作:阻止
进程路径:C:\WINDOWS\system32\lib32waoo.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application
注册表名称:Sources
更改后:WSH
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*


2012-05-12 11:59:54    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\awdbedit\复件 awdbedit\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:59:54    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\awdbedit\复件 awdbedit\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:59:54    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.491
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 11:59:56    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB8.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:56    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\DRAngel.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 11:59:58    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\WinXPSP2\GHOST\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 11:59:58    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)F:\WinXPSP2\GHOST\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 11:59:58    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.081
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 12:00:03    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:03    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\awdbedit.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:03    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\arswp3_x86\arswp3_x86\arswp3\save\HotFix\5.1-2\2052\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 12:00:03    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)F:\arswp3_x86\arswp3_x86\arswp3\save\HotFix\5.1-2\2052\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 12:00:04    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.080
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 12:00:04    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\lib32waoo.exe
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->%windir%\system32\*.exe


2012-05-12 12:00:04    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\services.exe->%windir%\*


2012-05-12 12:00:06    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:06    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\DRAngel\DRAngel\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 12:00:06    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\DRAngel\DRAngel\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 12:00:06    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:F:\arswp3_x86\arswp3_x86\arswp3\sif\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 12:00:06    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)F:\arswp3_x86\arswp3_x86\arswp3\sif\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 12:00:07    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\屏幕录像专家V7.5完美破解版.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:08    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.121
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 12:00:13    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:13    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\EQView_v1[1].15.rar" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:14    创建文件      操作:允许
进程路径:C:\Program Files\WinRAR\Rar.exe
文件路径:C:\WINDOWS\system32\__rar_00.071
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*


2012-05-12 12:00:15    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:16    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\恢复文件夹隐藏属性专用工具\恢复文件夹隐藏属性专用工具\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 12:00:16    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\恢复文件夹隐藏属性专用工具\恢复文件夹隐藏属性专用工具\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 12:00:16    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\PROGRA~1\WinRAR\rar.exe vb "E:\dotnetfx.zip" lpk.dll|find /i "lpk.dll"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:17    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c RD /s /q "C:\WINDOWS\TEMP\IRACB4.tmp"
触发规则:应用程序规则->系统程序->%windir%\System32\svchost.exe->%windir%\*.exe


2012-05-12 12:00:17    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\dotnetfx\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 12:00:17    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\dotnetfx\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*


2012-05-12 12:00:17    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:E:\EQView_v1[1].15\lpk.dll
触发规则:所有程序规则->全局设置->?:\*.dll


2012-05-12 12:00:18    修改文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:(隐藏文件)E:\EQView_v1[1].15\lpk.dll
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\svchost.exe->?:\*
回复

举报

tingyue-wu
发表于 2012-5-12 12:47:12 | 显示全部楼层
在我电脑上 应用程序初始化失败  不知道什么原因
回复

举报

ujty
发表于 2012-5-12 13:04:16 | 显示全部楼层

MSE居然可杀!这还是低误报低查杀的MSE么。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

870097067
发表于 2012-5-12 13:14:14 | 显示全部楼层
AVG已上報
回复

举报

XMonster
发表于 2012-5-12 13:15:33 | 显示全部楼层
程序:
C:\USERS\DXM\DOWNLOADS\SAMPLE\B09.EXE
是否删除木马程序及其衍生物?
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-25 05:27 , Processed in 0.095558 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表