收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 送上一個樣本! 冰刀 Wsyscheck 會失效
12
返回列表 发新帖
楼主: 211
 收起左侧

[病毒样本] 送上一個樣本! 冰刀 Wsyscheck 會失效

[复制链接]
sxingbai
发表于 2007-10-10 21:53:45 | 显示全部楼层
2007-10-10 21:37:36    运行应用程序      操作:允许
进程路径:C:\windows\Explorer.EXE
文件路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
触发规则:应用程序规则->系统程序调用其它程序->C:\WINDOWS\*->*

2007-10-10 21:37:43    创建文件      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
文件路径:C:\windows\system32\kernelw.sys
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:37:52    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver
注册表名称:[Key]
触发规则:所有程序规则->Drivers / Services(驱动和服务)->HKEY_LOCAL_MACHINE\System\*controlset*\Services\*

2007-10-10 21:37:53    删除注册表      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver
注册表名称:[Key]
触发规则:所有程序规则->Drivers / Services(驱动和服务)->HKEY_LOCAL_MACHINE\System\*controlset*\Services\*

2007-10-10 21:38:09    安装服务或者驱动      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
文件路径:C:\windows\system32\kernelw.sys
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:38:11    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver
注册表名称:ImagePath
注册表数据:\??\C:\windows\system32\kernelw.sys
触发规则:所有程序规则->Drivers / Services(驱动和服务)->HKEY_LOCAL_MACHINE\System\*controlset*\Services\*

2007-10-10 21:38:14    安装服务或者驱动      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
文件路径:C:\windows\system32\kernelw.sys
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:38:20    加载驱动程序      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
驱动名称:Driver
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:38:57    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
文件路径:C:\windows\system32\netsh.exe
命令行:firewall set allowedprogram 'C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe' enable
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:39:02    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:39:04    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:39:05    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:39:06    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:39:07    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:39:34    运行应用程序      操作:允许
进程路径:C:\windows\system32\netsh.exe
文件路径:C:\windows\system32\conime.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:39:34    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\netsh.exe
目标进程:C:\windows\system32\conime.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:39:34    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\netsh.exe
目标进程:C:\windows\system32\conime.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:39:34    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\netsh.exe
目标进程:C:\windows\system32\conime.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:39:34    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\netsh.exe
目标进程:C:\windows\system32\conime.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:39:34    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\netsh.exe
目标进程:C:\windows\system32\conime.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:39:50    创建文件      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
文件路径:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:40:07    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\svchost.exe
目标进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
触发规则:应用程序规则->信任组之系统程序->C:\windows\System32\svchost.exe->C:\WINDOWS\system32\wbem\wmiprvse.exe

2007-10-10 21:40:10    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:System
注册表数据:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:40:12    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\svchost.exe
目标进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
触发规则:应用程序规则->信任组之系统程序->C:\windows\System32\svchost.exe->C:\WINDOWS\system32\wbem\wmiprvse.exe

2007-10-10 21:40:14    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SystemC:\windows\system32\kernelwind32.exe
注册表数据:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:40:18    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\svchost.exe
目标进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
触发规则:应用程序规则->信任组之系统程序->C:\windows\System32\svchost.exe->C:\WINDOWS\system32\wbem\wmiprvse.exe

2007-10-10 21:40:22    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\svchost.exe
目标进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
触发规则:应用程序规则->信任组之系统程序->C:\windows\System32\svchost.exe->C:\WINDOWS\system32\wbem\wmiprvse.exe

2007-10-10 21:40:23    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\svchost.exe
目标进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
触发规则:应用程序规则->信任组之系统程序->C:\windows\System32\svchost.exe->C:\WINDOWS\system32\wbem\wmiprvse.exe

2007-10-10 21:40:47    创建远程线程      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:40:50    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:40:54    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:40:55    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:40:57    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:40:58    修改其它进程内存      操作:允许
进程路径:C:\Documents and Settings\nie\桌面\1\Win32\Win32\win32.exe
目标进程:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->运行命令行参数->*

2007-10-10 21:41:01    修改文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\kernelw.sys
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:41:11    安装服务或者驱动      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\kernelw.sys
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:13    修改注册表内容      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver
注册表名称:ImagePath
注册表数据:\??\C:\windows\system32\kernelw.sys
触发规则:所有程序规则->Drivers / Services(驱动和服务)->HKEY_LOCAL_MACHINE\System\*controlset*\Services\*

2007-10-10 21:41:15    安装服务或者驱动      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\kernelw.sys
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:19    加载驱动程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
驱动名称:Driver
触发规则:应用程序规则->系统程序调用其它程序->C:\WINDOWS\*->*

2007-10-10 21:41:29    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\netsh.exe
命令行:firewall set allowedprogram 'C:\windows\system32\kernelwind32.exe' enable
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:29    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:29    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:29    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:29    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:29    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\netsh.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:41:32    删除文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:41:42    修改注册表内容      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:System
注册表数据:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:41:44    修改注册表内容      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SystemC:\windows\system32\kernelwind32.exe
注册表数据:C:\windows\system32\kernelwind32.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:41:49    创建注册表值      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableTaskMgr
触发规则:所有程序规则->Security - Policies(安全与权限)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies*

2007-10-10 21:41:50    创建注册表值      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableTaskMgr腿牰
触发规则:所有程序规则->Security - Policies(安全与权限)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies*
回复

举报

sxingbai
发表于 2007-10-10 22:02:49 | 显示全部楼层
后来联网
下了一群东东
2007-10-10 21:42:20    创建文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:42:25    删除文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:42:28    修改文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:42:32    删除文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:42:34    修改文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:42:37    删除文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:42:40    修改文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q8.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:42:47    创建文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q1.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:43:09    创建文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q2.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:43:21    创建文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q5.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:43:40    创建文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q6.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:43:47    创建文件      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q7.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:43:57    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q1.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:43:57    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q1.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:43:57    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q1.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:43:57    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q1.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:43:57    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q1.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:43:57    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q1.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:12    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q2.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:12    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q2.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:12    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q2.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:12    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q2.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:12    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q2.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:12    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q2.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:18    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:18    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:18    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:18    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:19    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:19    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:41    创建文件      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q1.exe
文件路径:C:\windows\system32\divx.dll
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:44:41    创建文件      操作:阻止
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Windows\xpupdate.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:44:41    修改文件      操作:阻止
进程路径:C:\windows\system32\dllh8jkd1q1.exe
文件路径:C:\windows\system32\divx.dll
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.dll

2007-10-10 21:44:41    创建文件      操作:阻止
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\vx.tll
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:44:41    创建文件      操作:阻止
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Windows\xpupdate.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:44:49    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q6.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:49    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q6.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:49    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q6.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:49    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q6.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:49    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q6.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:49    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q6.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:53    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:53    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:53    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:53    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:53    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:53    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q7.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:56    运行应用程序      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
文件路径:C:\windows\system32\dllh8jkd1q5.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:56    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q5.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:56    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q5.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:56    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q5.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:56    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q5.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:44:56    修改其它进程内存      操作:允许
进程路径:C:\windows\system32\kernelwind32.exe
目标进程:C:\windows\system32\dllh8jkd1q5.exe
触发规则:应用程序规则->系统程序调用系统程序->C:\WINDOWS\*->C:\WINDOWS\*

2007-10-10 21:45:30    创建注册表值      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q1.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表名称:C:\windows\system\ctfmon.exe
注册表数据:C:\windows\system\ctfmon.exe:*:Enabled:ctfmon.exe
触发规则:所有程序规则->Security - Policies(安全与权限)->HKEY_LOCAL_MACHINE\System\*controlset*\Services\Sharedaccess\Parameters\Firewallpolicy*

2007-10-10 21:45:30    创建文件      操作:阻止
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Windows\xpupdate.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:45:30    创建注册表值      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q1.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
注册表名称:C:\windows\system\ctfmon.exeC:\windows\system\ctfmon.exe:*:Enabled:ctfmon.exe
注册表数据:C:\windows\system\ctfmon.exe:*:Enabled:ctfmon.exe
触发规则:所有程序规则->Security - Policies(安全与权限)->HKEY_LOCAL_MACHINE\System\*controlset*\Services\Sharedaccess\Parameters\Firewallpolicy*

2007-10-10 21:45:54    创建注册表值      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q2.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows update loader
注册表数据:C:\Windows\xpupdate.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:45:55    修改注册表内容      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q1.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ctfmon.exe
注册表数据:C:\windows\system\ctfmon.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:45:57    创建注册表值      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q2.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows update loaderC:\Windows\xpupdate.exe
注册表数据:C:\Windows\xpupdate.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:45:57    删除注册表      操作:允许
进程路径:C:\windows\system32\ctfmon.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:internat.exe
触发规则:应用程序规则->默认组->C:\windows\system32\ctfmon.exe->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2007-10-10 21:45:59    修改注册表内容      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q1.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:ctfmon.exeC:\windows\system\ctfmon.exe
注册表数据:C:\windows\system\ctfmon.exe
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:46:05    创建文件      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Program Files\BraveSentry\BraveSentry.exe
触发规则:所有程序规则->写入可执行文件(MID 询问)->*.exe

2007-10-10 21:46:12    删除注册表      操作:允许
进程路径:C:\windows\system32\ctfmon.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:internat.exe2"
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:46:12    删除注册表      操作:允许
进程路径:C:\windows\system32\ctfmon.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:internat.exe
触发规则:应用程序规则->默认组->C:\windows\system32\ctfmon.exe->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2007-10-10 21:46:46    创建文件      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q1.exe
文件路径:C:\windows\system\ctfmon.exe
触发规则:所有程序规则->写入WINDOWS目录(MID 询问)->C:\WINDOWS\*

2007-10-10 21:46:46    修改文件      操作:阻止
进程路径:C:\windows\system32\dllh8jkd1q1.exe
文件路径:C:\windows\system\ctfmon.exe
触发规则:所有程序规则->修改系统可执行文件(HIGH 阻止)->c:\windows\*.exe

2007-10-10 21:46:48    创建文件      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Program Files\BraveSentry\BraveSentry.exe
触发规则:所有程序规则->写入可执行文件(MID 询问)->*.exe

2007-10-10 21:46:50    删除注册表      操作:允许
进程路径:C:\windows\system32\ctfmon.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:internat.exe腿蓀
触发规则:所有程序规则->Auto Starts(自启动)->HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run*

2007-10-10 21:46:56    创建文件      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Documents and Settings\nie\Application Data\Install.dat
触发规则:所有程序规则->写入Documents and Settings目录(MID 询问)->C:\Documents and Settings\*

2007-10-10 21:47:06    修改文件      操作:允许
进程路径:C:\windows\system32\dllh8jkd1q2.exe
文件路径:C:\Documents and Settings\nie\Application Data\Install.dat
触发规则:所有程序规则->写入Documents and Settings目录(MID 询问)->C:\Documents and Settings\*
回复

举报

hj5abc
发表于 2007-10-10 22:04:26 | 显示全部楼层
原来不是映象劫持 ..那是?
回复

举报

sxingbai
发表于 2007-10-10 22:13:11 | 显示全部楼层
wsyscheck打不开

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

sxingbai
发表于 2007-10-10 22:15:24 | 显示全部楼层
能打开
但那个提示不知什么意思
回复

举报

zhbst
发表于 2007-10-11 09:46:00 | 显示全部楼层
我的冰刀可以用啊!并且可以结束其进程,只是看不到其驱动程序,看来冰刀的确是失效了
回复

举报

baohelin
发表于 2007-10-11 11:32:20 | 显示全部楼层
原帖由 211 于 2007-10-10 17:50 发表
送上一個樣本! 冰刀 Wsyscheck 會失效

解壓縮密碼 virus
http://www.91files.com/?PBEO2UCWXDR6O2POLOTC
它过不了WINDOWS的DEP

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yu88480
发表于 2007-10-11 11:56:37 | 显示全部楼层
11楼兄弟这是用的什么软件的记录啊?
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-20 06:17 , Processed in 0.102468 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表