鬼影6样本

显示全部楼层 · 发表于 2013-7-5 22:14:24

2013-07-05 22:14:00 加载库文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\system32\162204F8.tmp
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->*\*.tmp

2013-07-05 22:14:08 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\CLEARNLOADIMAGE.sys
触发规则:高优先规则->123->*\*.sys

2013-07-05 22:14:12 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\xxx.sys
触发规则:高优先规则->123->*\*.sys

2013-07-05 22:14:12 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:13 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx
注册表名称:Start
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:15 安装服务或者驱动    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\xxx.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*.sys

2013-07-05 22:14:15 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx
注册表名称:ImagePath
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:15 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx\Security
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:15 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx\Enum
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:19 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\xxx.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*.sys

2013-07-05 22:14:20 创建注册表值    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\249F5815
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:23 安装服务或者驱动    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\249F5815.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys

2013-07-05 22:14:23 修改注册表内容    操作:阻止
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}
注册表名称:Service
更改后:249F5815
更改前:drmkaud
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum*

2013-07-05 22:14:23 安装服务或者驱动    操作:阻止
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\Base
触发规则:所有程序规则->加载驱动安装服务->%windir%\*

2013-07-05 22:14:23 创建注册表值    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\249F5815
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:27 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\249F5815.sys
触发规则:高优先规则->123->*\*.sys

2013-07-05 22:14:41 安装服务或者驱动    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\drmkaud.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys

2013-07-05 22:14:41 修改注册表内容    操作:阻止
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\drmkaud
注册表名称:ImagePath
更改后:system32\drmkaud.sys
更改前:system32\drivers\drmkaud.sys
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\drmkaud

2013-07-05 22:14:44 删除文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\249F5815.sys
触发规则:高优先规则->123->*\*.sys

2013-07-05 22:14:44 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\64213E09
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:44 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\64213E09
注册表名称:Start
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:47 安装服务或者驱动    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\64213E09.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*.sys

2013-07-05 22:14:47 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\64213E09
注册表名称:ImagePath
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:47 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\64213E09\Security
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:50 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\64213E09.sys
触发规则:高优先规则->123->*\*.sys

2013-07-05 22:14:50 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\64213E09\Enum
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 22:14:52 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\64213E09.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*.sys

2013-07-05 22:15:06 运行应用程序    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\752e6840.bat" "
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2013-07-05 22:15:06 修改文件    操作:阻止并结束进程
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\appmgmts.dll
触发规则:所有程序规则->需要保护的文件->%windir%\system32\appmgmts.dll

2013-07-05 22:15:10 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:F:\virus\Qvod\QVOD.EXE
触发规则:应用程序规则->CMD设置->%windir%\system32\cmd.exe->?:\*

显示全部楼层 · 发表于 2013-7-5 22:16:51

cfans 发表于 2013-7-4 23:27
看下都感染了哪些系统文件

很多个大部分是dll文件而且不断增加

显示全部楼层 · 发表于 2013-7-6 12:31:20

hx1997 发表于 2013-7-4 20:19
打包 1L

Windows Defender 4.3清空，3L样本也灭之

显示全部楼层 · 发表于 2013-7-6 16:06:46

神啊，现在瑞星还不杀

显示全部楼层 · 发表于 2013-7-6 23:26:29

hddu 发表于 2013-7-5 13:45
3L

2013-07-05 13:51:33 结束/挂起线程操作:阻止并结束进程

我曹!!!!!!
继续到我没耐心了...
估计就是把自己变成WINLOGIN.EXE,获取全局权限罢了..
有耐心你可以分析:
2013-7-6 23:13:06 创建新进程允许
进程: d:\windows\explorer.exe
目标: d:\documents and settings\killleer\桌面\qvod.exe
命令行: "D:\Documents and Settings\killleer\桌面\Qvod.exe"
规则: [应用程序]d:\windows\explorer.exe

2013-7-6 23:13:09 读文件 (3) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: D:\WINDOWS\WindowsShell.Manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-7-6 23:13:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (KeyedEvent) \KernelObjects\CritSecOutOfMemoryEvent
规则: [应用程序]*

2013-7-6 23:13:17 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Directory) \KnownDlls
规则: [应用程序]*

2013-7-6 23:13:20 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x0000000C
规则: [应用程序]*

2013-7-6 23:13:21 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000010
规则: [应用程序]*

2013-7-6 23:13:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Directory) \Windows
规则: [应用程序]*

2013-7-6 23:13:25 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x00000018
规则: [应用程序]*

2013-7-6 23:13:26 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x0000001C
规则: [应用程序]*

2013-7-6 23:13:27 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE
规则: [应用程序]*

2013-7-6 23:13:29 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\crypt32LogoffEvent
规则: [应用程序]*

2013-7-6 23:13:30 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000028
规则: [应用程序]*

2013-7-6 23:13:31 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Directory) \BaseNamedObjects
规则: [应用程序]*

2013-7-6 23:13:34 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: User Profile setup event
规则: [应用程序]*

2013-7-6 23:13:36 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\userenv: machine policy mutex
规则: [应用程序]*

2013-7-6 23:13:38 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\userenv: Machine Registry policy mutex
规则: [应用程序]*

2013-7-6 23:13:38 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: Machine Group Policy has been applied
规则: [应用程序]*

2013-7-6 23:13:56 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: Machine Group Policy ForcedRefresh Needs Foreground Processing
规则: [应用程序]*

2013-7-6 23:13:58 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: Machine Group Policy Processing is done
规则: [应用程序]*

2013-7-6 23:14:00 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: Machine Policy Foreground Done Event
规则: [应用程序]*

2013-7-6 23:14:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\userenv: user policy mutex
规则: [应用程序]*

2013-7-6 23:14:02 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\userenv: User Registry policy mutex
规则: [应用程序]*

2013-7-6 23:14:04 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: User Group Policy has been applied
规则: [应用程序]*

2013-7-6 23:14:05 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: User Group Policy ForcedRefresh Needs Foreground Processing
规则: [应用程序]*

2013-7-6 23:14:06 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: User Group Policy Processing is done
规则: [应用程序]*

2013-7-6 23:14:07 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: User Policy Foreground Done Event
规则: [应用程序]*

2013-7-6 23:14:08 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000064
规则: [应用程序]*

2013-7-6 23:14:09 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x00000068
规则: [应用程序]*

2013-7-6 23:14:09 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000006C
规则: [应用程序]*

2013-7-6 23:14:10 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x00000070
规则: [应用程序]*

2013-7-6 23:14:11 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000074
规则: [应用程序]*

2013-7-6 23:14:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x00000078
规则: [应用程序]*

2013-7-6 23:14:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x0000007C
规则: [应用程序]*

2013-7-6 23:14:13 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000080
规则: [应用程序]*

2013-7-6 23:14:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x00000084
规则: [应用程序]*

2013-7-6 23:14:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000088
规则: [应用程序]*

2013-7-6 23:14:15 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000008C
规则: [应用程序]*

2013-7-6 23:14:16 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x00000090
规则: [应用程序]*

2013-7-6 23:14:17 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\WinlogonTSSynchronizeEvent
规则: [应用程序]*

2013-7-6 23:14:18 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) \Device\NamedPipe\TerminalServer\AutoReconnect
规则: [应用程序]*

2013-7-6 23:14:19 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\TS-WPAAE
规则: [应用程序]*

2013-7-6 23:14:20 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000000A0
规则: [应用程序]*

2013-7-6 23:14:22 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\winlogon: Logon UserProfileMapping Mutex
规则: [应用程序]*

2013-7-6 23:14:23 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (WindowStation) \Windows\WindowStations\WinSta0
规则: [应用程序]*

2013-7-6 23:14:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale
规则: [应用程序]*

2013-7-6 23:14:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\Alternate Sorts
规则: [应用程序]*

2013-7-6 23:14:26 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups
规则: [应用程序]*

2013-7-6 23:14:43 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Desktop) \Winlogon
规则: [应用程序]*

2013-7-6 23:14:44 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (WindowStation) \Windows\WindowStations\WinSta0
规则: [应用程序]*

2013-7-6 23:14:45 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Desktop) \Disconnect
规则: [应用程序]*

2013-7-6 23:14:47 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Desktop) \Default
规则: [应用程序]*

2013-7-6 23:14:48 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\SingleSesMutex
规则: [应用程序]*

2013-7-6 23:14:48 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\ReconEvent
规则: [应用程序]*

2013-7-6 23:14:50 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:14:51 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000000D4
规则: [应用程序]*

2013-7-6 23:14:52 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
规则: [应用程序]*

2013-7-6 23:14:53 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
规则: [应用程序]*

2013-7-6 23:14:53 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\RasPbFile
规则: [应用程序]*

2013-7-6 23:14:59 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000000E4
规则: [应用程序]*

2013-7-6 23:15:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
规则: [应用程序]*

2013-7-6 23:15:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
规则: [应用程序]*

2013-7-6 23:15:02 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \Security\NetworkProviderLoad
规则: [应用程序]*

2013-7-6 23:15:03 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000000F4
规则: [应用程序]*

2013-7-6 23:15:04 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x000000F8
规则: [应用程序]*

2013-7-6 23:15:05 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x000000FC
规则: [应用程序]*

2013-7-6 23:15:06 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000100
规则: [应用程序]*

2013-7-6 23:15:06 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000104
规则: [应用程序]*

2013-7-6 23:15:07 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000108
规则: [应用程序]*

2013-7-6 23:15:08 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x0000010C
规则: [应用程序]*

2013-7-6 23:15:09 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000110
规则: [应用程序]*

2013-7-6 23:15:10 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Section) \BaseNamedObjects\TPC-SHM
规则: [应用程序]*

2013-7-6 23:15:11 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) \Device\NamedPipe\winlogonrpc
规则: [应用程序]*

2013-7-6 23:15:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000011C
规则: [应用程序]*

2013-7-6 23:15:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x00000120
规则: [应用程序]*

2013-7-6 23:15:13 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\VMUpgradeAtShutdown
规则: [应用程序]*

2013-7-6 23:15:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000128
规则: [应用程序]*

2013-7-6 23:15:15 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) \RPC Control\sclogonrpc
规则: [应用程序]*

2013-7-6 23:15:16 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Lsa
规则: [应用程序]*

2013-7-6 23:15:21 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Timer) \BaseNamedObjects\userenv: refresh timer for 632:1988
规则: [应用程序]*

2013-7-6 23:15:22 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000138
规则: [应用程序]*

2013-7-6 23:15:23 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000013C
规则: [应用程序]*

2013-7-6 23:15:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000140
规则: [应用程序]*

2013-7-6 23:15:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000144
规则: [应用程序]*

2013-7-6 23:15:26 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:15:27 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) \RPC Control\IUserProfile
规则: [应用程序]*

2013-7-6 23:15:28 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000150
规则: [应用程序]*

2013-7-6 23:15:30 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:15:31 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
规则: [应用程序]*

2013-7-6 23:15:32 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\ShimCacheMutex
规则: [应用程序]*

2013-7-6 23:15:33 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Section) \BaseNamedObjects\ShimSharedMemory
规则: [应用程序]*

2013-7-6 23:15:33 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Timer) 0x00000168
规则: [应用程序]*

2013-7-6 23:15:34 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000016C
规则: [应用程序]*

2013-7-6 23:15:57 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:16:00 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
规则: [应用程序]*

2013-7-6 23:16:02 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (IoCompletion) 0x00000178
规则: [应用程序]*

2013-7-6 23:16:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (IoCompletion) 0x0000017C
规则: [应用程序]*

2013-7-6 23:16:13 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (IoCompletion) 0x00000180
规则: [应用程序]*

2013-7-6 23:16:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (IoCompletion) 0x00000184
规则: [应用程序]*

2013-7-6 23:16:16 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) \Device\NamedPipe\InitShutdown
规则: [应用程序]*

2013-7-6 23:16:17 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000190
规则: [应用程序]*

2013-7-6 23:16:19 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:16:20 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000198
规则: [应用程序]*

2013-7-6 23:16:21 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:16:22 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Timer) 0x000001A0
规则: [应用程序]*

2013-7-6 23:16:23 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
规则: [应用程序]*

2013-7-6 23:16:25 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Process) d:\windows\system32\services.exe
规则: [应用程序]*

2013-7-6 23:16:27 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
规则: [应用程序]*

2013-7-6 23:16:28 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Process) d:\windows\system32\lsass.exe
规则: [应用程序]*

2013-7-6 23:16:29 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x000001B4
规则: [应用程序]*

2013-7-6 23:16:30 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001B8
规则: [应用程序]*

2013-7-6 23:16:31 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x000001BC
规则: [应用程序]*

2013-7-6 23:16:32 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001C0
规则: [应用程序]*

2013-7-6 23:16:33 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001C8
规则: [应用程序]*

2013-7-6 23:16:34 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\Microsoft Smart Card Resource Manager Started
规则: [应用程序]*

2013-7-6 23:16:35 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001D4
规则: [应用程序]*

2013-7-6 23:16:37 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:16:38 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Credentials
规则: [应用程序]*

2013-7-6 23:16:39 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\msgina: ReturnToWelcome
规则: [应用程序]*

2013-7-6 23:16:40 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001E4
规则: [应用程序]*

2013-7-6 23:16:40 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\msgina: ShutdownEvent
规则: [应用程序]*

2013-7-6 23:16:41 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\msgina: InteractiveLogonMutex
规则: [应用程序]*

2013-7-6 23:16:43 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\msgina: InteractiveLogonRequestMutex
规则: [应用程序]*

2013-7-6 23:16:43 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Section) \BaseNamedObjects\mmGlobalPnpInfo
规则: [应用程序]*

2013-7-6 23:16:44 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001F8
规则: [应用程序]*

2013-7-6 23:16:45 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000001FC
规则: [应用程序]*

2013-7-6 23:16:46 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\WFP_IDLE_TRIGGER
规则: [应用程序]*

2013-7-6 23:16:47 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000204
规则: [应用程序]*

2013-7-6 23:16:48 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000208
规则: [应用程序]*

2013-7-6 23:16:49 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32
规则: [应用程序]*

2013-7-6 23:16:50 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\dllcache
规则: [应用程序]*

2013-7-6 23:16:51 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\AppPatch
规则: [应用程序]*

2013-7-6 23:16:52 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm
规则: [应用程序]*

2013-7-6 23:16:53 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_adm
规则: [应用程序]*

2013-7-6 23:16:53 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\Help
规则: [应用程序]*

2013-7-6 23:16:55 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut
规则: [应用程序]*

2013-7-6 23:16:56 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_aut
规则: [应用程序]*

2013-7-6 23:16:57 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\inetsrv
规则: [应用程序]*

2013-7-6 23:16:58 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin
规则: [应用程序]*

2013-7-6 23:16:58 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\Fonts
规则: [应用程序]*

2013-7-6 23:16:59 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\drivers
规则: [应用程序]*

2013-7-6 23:17:00 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\servsupp
规则: [应用程序]*

2013-7-6 23:17:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar
规则: [应用程序]*

2013-7-6 23:17:02 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\microsoft frontpage\version3.0\bin
规则: [应用程序]*

2013-7-6 23:17:03 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\_vti_bin
规则: [应用程序]*

2013-7-6 23:17:04 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\2052
规则: [应用程序]*

2013-7-6 23:17:05 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi
规则: [应用程序]*

2013-7-6 23:17:07 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS
规则: [应用程序]*

2013-7-6 23:17:09 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\DAO
规则: [应用程序]*

2013-7-6 23:17:10 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Windows Media Player
规则: [应用程序]*

2013-7-6 23:17:10 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\ThemesStartEvent
规则: [应用程序]*

2013-7-6 23:17:11 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000270
规则: [应用程序]*

2013-7-6 23:17:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\USER
规则: [应用程序]*

2013-7-6 23:17:14 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:17:15 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000027C
规则: [应用程序]*

2013-7-6 23:17:16 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\hardwaremixercallback
规则: [应用程序]*

2013-7-6 23:17:17 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\System\msadc
规则: [应用程序]*

2013-7-6 23:17:19 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x00000288
规则: [应用程序]*

2013-7-6 23:17:20 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
规则: [应用程序]*

2013-7-6 23:17:32 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000290
规则: [应用程序]*

2013-7-6 23:17:33 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\System\ado
规则: [应用程序]*

2013-7-6 23:17:34 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000298
规则: [应用程序]*

2013-7-6 23:17:35 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\System\Ole DB
规则: [应用程序]*

2013-7-6 23:17:36 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x000002A0
规则: [应用程序]*

2013-7-6 23:17:37 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\mixercallback
规则: [应用程序]*

2013-7-6 23:17:39 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) \BaseNamedObjects\shell.{7CB834F0-527B-11D2-9D1F-0000F805CA57}
规则: [应用程序]*

2013-7-6 23:17:40 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000002AC
规则: [应用程序]*

2013-7-6 23:17:42 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\inf
规则: [应用程序]*

2013-7-6 23:17:43 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system
规则: [应用程序]*

2013-7-6 23:17:44 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\msagent
规则: [应用程序]*

2013-7-6 23:17:45 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\MidiMapper_Configure
规则: [应用程序]*

2013-7-6 23:17:46 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000002C0
规则: [应用程序]*

2013-7-6 23:17:47 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000002C4
规则: [应用程序]*

2013-7-6 23:17:47 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32
规则: [应用程序]*

2013-7-6 23:17:48 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x000002D0
规则: [应用程序]*

2013-7-6 23:17:49 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
规则: [应用程序]*

2013-7-6 23:17:50 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\DINPUTWINMM
规则: [应用程序]*

2013-7-6 23:17:51 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x000002DC
规则: [应用程序]*

2013-7-6 23:17:52 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000002E0
规则: [应用程序]*

2013-7-6 23:17:53 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000002E4
规则: [应用程序]*

2013-7-6 23:17:54 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x000002E8
规则: [应用程序]*

2013-7-6 23:17:55 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NetworkProvider\HwOrder
规则: [应用程序]*

2013-7-6 23:17:55 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x000002F0
规则: [应用程序]*

2013-7-6 23:17:56 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x000002F4
规则: [应用程序]*

2013-7-6 23:17:57 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\WPA_PR_MUTEX
规则: [应用程序]*

2013-7-6 23:17:58 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000002FC
规则: [应用程序]*

2013-7-6 23:17:58 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\WPA_RT_MUTEX
规则: [应用程序]*

2013-7-6 23:17:59 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\WPA_LT_MUTEX
规则: [应用程序]*

2013-7-6 23:18:00 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\WPA_HWID_MUTEX
规则: [应用程序]*

2013-7-6 23:18:00 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\WPA_LICSTORE_MUTEX
规则: [应用程序]*

2013-7-6 23:18:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x00000310
规则: [应用程序]*

2013-7-6 23:18:02 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x00000318
规则: [应用程序]*

2013-7-6 23:18:03 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\jjCSCSharedFillEvent_UM_KM
规则: [应用程序]*

2013-7-6 23:18:04 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x00000320
规则: [应用程序]*

2013-7-6 23:18:05 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\jjCSCSessEvent_UM_KM_0
规则: [应用程序]*

2013-7-6 23:18:06 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\WkssvcToAgentStartEvent
规则: [应用程序]*

2013-7-6 23:18:07 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\WkssvcToAgentStopEvent
规则: [应用程序]*

2013-7-6 23:18:08 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\AgentToWkssvcEvent
规则: [应用程序]*

2013-7-6 23:18:09 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\AgentExistsEvent
规则: [应用程序]*

2013-7-6 23:18:10 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000338
规则: [应用程序]*

2013-7-6 23:18:11 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:18:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\SENS Started Event
规则: [应用程序]*

2013-7-6 23:18:13 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x00000344
规则: [应用程序]*

2013-7-6 23:18:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000348
规则: [应用程序]*

2013-7-6 23:18:15 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (WmiGuid) 0x0000034C
规则: [应用程序]*

2013-7-6 23:18:16 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x00000350
规则: [应用程序]*

2013-7-6 23:18:17 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000354
规则: [应用程序]*

2013-7-6 23:18:18 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Process) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:18:20 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000035C
规则: [应用程序]*

2013-7-6 23:18:21 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000360
规则: [应用程序]*

2013-7-6 23:18:22 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x00000364
规则: [应用程序]*

2013-7-6 23:18:23 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) \Device\NamedPipe\winlogonrpc
规则: [应用程序]*

2013-7-6 23:18:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000370
规则: [应用程序]*

2013-7-6 23:18:25 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x0000037C
规则: [应用程序]*

2013-7-6 23:18:26 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x00000380
规则: [应用程序]*

2013-7-6 23:18:27 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SOFTWARE\Classes
规则: [应用程序]*

2013-7-6 23:18:27 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: user policy refresh event
规则: [应用程序]*

2013-7-6 23:18:42 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\CscCacheInitCompleteEvent
规则: [应用程序]*

2013-7-6 23:18:43 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\00000000000aedec_WlballoonKerberosNotificationEventName
规则: [应用程序]*

2013-7-6 23:18:45 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
规则: [应用程序]*

2013-7-6 23:18:46 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam
规则: [应用程序]*

2013-7-6 23:18:46 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
规则: [应用程序]*

2013-7-6 23:18:48 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:18:49 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) 0x000003C0
规则: [应用程序]*

2013-7-6 23:18:52 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\userenv: Machine Group Policy has been applied
规则: [应用程序]*

2013-7-6 23:18:53 从其他进程复制句柄 (2) 允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Thread) d:\windows\system32\winlogon.exe
规则: [应用程序]*

2013-7-6 23:18:54 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000003CC
规则: [应用程序]*

2013-7-6 23:18:55 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x000003D0
规则: [应用程序]*

2013-7-6 23:18:56 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Timer) \BaseNamedObjects\userenv: refresh timer for 632:1920
规则: [应用程序]*

2013-7-6 23:18:56 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Token) 0x000003DC
规则: [应用程序]*

2013-7-6 23:18:57 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\USER\S-1-5-21-1993962763-1450960922-682003330-1003
规则: [应用程序]*

2013-7-6 23:18:58 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000003EC
规则: [应用程序]*

2013-7-6 23:18:59 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x000003F4
规则: [应用程序]*

2013-7-6 23:19:00 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x000003F8
规则: [应用程序]*

2013-7-6 23:19:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x000003FC
规则: [应用程序]*

2013-7-6 23:19:01 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x00000400
规则: [应用程序]*

2013-7-6 23:19:02 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000408
规则: [应用程序]*

2013-7-6 23:19:03 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\MidiMapper_modLongMessage_RefCnt
规则: [应用程序]*

2013-7-6 23:19:03 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Section) \BaseNamedObjects\HGFSMEMORY
规则: [应用程序]*

2013-7-6 23:19:04 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x0000041C
规则: [应用程序]*

2013-7-6 23:19:05 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000424
规则: [应用程序]*

2013-7-6 23:19:06 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) \BaseNamedObjects\winlogon: machine GPO Event 38062
规则: [应用程序]*

2013-7-6 23:19:07 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x0000042C
规则: [应用程序]*

2013-7-6 23:19:08 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000430
规则: [应用程序]*

2013-7-6 23:19:08 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000434
规则: [应用程序]*

2013-7-6 23:19:09 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000438
规则: [应用程序]*

2013-7-6 23:19:10 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x0000043C
规则: [应用程序]*

2013-7-6 23:19:11 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x00000440
规则: [应用程序]*

2013-7-6 23:19:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x00000444
规则: [应用程序]*

2013-7-6 23:19:12 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Event) 0x0000044C
规则: [应用程序]*

2013-7-6 23:19:13 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Port) 0x00000454
规则: [应用程序]*

2013-7-6 23:19:14 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x0000045C
规则: [应用程序]*

2013-7-6 23:19:15 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Mutant) \BaseNamedObjects\HGFSMUTEX
规则: [应用程序]*

2013-7-6 23:19:16 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000464
规则: [应用程序]*

2013-7-6 23:19:16 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) 0x00000468
规则: [应用程序]*

2013-7-6 23:19:17 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage
规则: [应用程序]*

2013-7-6 23:19:18 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000470
规则: [应用程序]*

2013-7-6 23:19:19 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
规则: [应用程序]*

2013-7-6 23:19:20 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces
规则: [应用程序]*

2013-7-6 23:19:21 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Key) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters
规则: [应用程序]*

2013-7-6 23:19:23 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000480
规则: [应用程序]*

2013-7-6 23:19:24 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000484
规则: [应用程序]*

2013-7-6 23:19:26 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x00000488
规则: [应用程序]*

2013-7-6 23:19:27 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (Semaphore) 0x0000048C
规则: [应用程序]*

2013-7-6 23:19:28 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\msagent\intl
规则: [应用程序]*

2013-7-6 23:19:29 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\MSN Gaming Zone\Windows
规则: [应用程序]*

2013-7-6 23:19:30 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\pchealth\helpctr\binaries
规则: [应用程序]*

2013-7-6 23:19:30 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\NetMeeting
规则: [应用程序]*

2013-7-6 23:19:31 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\drivers\disdn
规则: [应用程序]*

2013-7-6 23:19:32 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\ime\CHTIME\Applets
规则: [应用程序]*

2013-7-6 23:19:33 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\wbem
规则: [应用程序]*

2013-7-6 23:19:34 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\IME\CINTLGNT
规则: [应用程序]*

2013-7-6 23:19:36 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\Com
规则: [应用程序]*

2013-7-6 23:19:37 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\Setup
规则: [应用程序]*

2013-7-6 23:19:37 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\ime\IMJP8_1
规则: [应用程序]*

2013-7-6 23:19:38 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\Triedit
规则: [应用程序]*

2013-7-6 23:19:38 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Windows NT
规则: [应用程序]*

2013-7-6 23:19:39 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\System
规则: [应用程序]*

2013-7-6 23:19:39 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\1033
规则: [应用程序]*

2013-7-6 23:19:40 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\2052
规则: [应用程序]*

2013-7-6 23:19:41 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\admcgi\scripts
规则: [应用程序]*

2013-7-6 23:19:42 从其他进程复制句柄允许
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\admisapi\scripts
规则: [应用程序]*

2013-7-6 23:19:47 从其他进程复制句柄阻止并结束进程
进程: d:\documents and settings\killleer\桌面\qvod.exe
目标: d:\windows\system32\winlogon.exe
句柄: (File) D:\WINDOWS\system32\usmt
规则: [应用程序]*

显示全部楼层 · 发表于 2013-7-8 09:34:20

这病毒真心厉害,我公司总有人插U盘,都杀不尽,后来禁用USB,然后各种专杀,总算给搞定了.以后果然不能随便开放USB接口.

显示全部楼层 · 发表于 2013-7-17 21:38:44

我还看不了附件，看来级别过低啊，被标题吸引过来却看不到，很无奈

显示全部楼层 · 发表于 2013-7-18 12:17:34

....

显示全部楼层 · 发表于 2013-7-20 11:48:26

文件名: qvod.exe
威胁名称: WS.Malware.2完整路径: c:\documents and settings\administrator\桌面\我的资料\qvod\qvod.exe

____________________________

详细信息
未知的社区使用情况, 未知的文件存在时间, 风险高

原始
下载自
未知

活动
已执行的操作: 已执行的操作: 1

____________________________

在电脑上的创建时间 2013-7-20 ( 11:47:22 )
上次使用时间 2013-7-20 ( 11:47:22 )
启动项目否
已启动否

____________________________

未知
诺顿社区中使用了此文件的用户数未知。

未知
此文件版本当前未知。

高
此文件具有高风险。

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

来源: 外部介质

____________________________

文件操作

文件: c:\documents and settings\administrator\桌面\我的资料\qvod\qvod.exe
已阻止
____________________________

文件指纹 - SHA:
52c2dfe7fe38ce665eb471175d531ecb7697ef8ed9850630b898e648f9b900ad
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2013-7-20 14:19:04

清茗微漾发表于 2013-7-4 20:19
文件名: qvod.exe
威胁名称: Suspicious.Cloud.5
完整路径: c:\users\angel's\desktop\qvod\qvod.exe

有密码的，没法扫

[病毒样本] 鬼影6样本