楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
墨家小子
发表于 2014-3-4 12:36:29 | 显示全部楼层
qftest 发表于 2014-3-4 12:12
x32 打过补丁的win7和没打补丁的都有差异,难道都要测一次让那些人“心服口服”?爱说说,不理

说的也是
qftest
 楼主| 发表于 2014-3-4 16:23:57 | 显示全部楼层
本帖最后由 qftest 于 2014-3-4 16:58 编辑
墨家小子 发表于 2014-3-4 12:01
你要有时间的帮我用毛豆测试这个帖子:http://bbs.kafan.cn/thread-1693255-1-1.html

先是1844534592. ...


纯VSE、开GAE、基本只开主楼的规则(关闭月神、关闭阻止对所有共享资源的读写访问、关闭禁止远程创建...等一系列规则)



C:\测试\1844534592.avg.exe

2014/3/4        14:10:49        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\msvbvm60.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\sechost.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\combase.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\imm32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\sxs.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\dwmapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:54        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:54        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\msvbvm60.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:54        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\sechost.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\combase.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\imm32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\sxs.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:56        已由访问保护规则禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Users\Kafan\AppData\Local\Temp\OISOJ60.exe        用户定义的规则:08 入侵控制 exe        已阻止的操作: 创建
2014/3/4        14:10:56        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\SysWOW64\dwmapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:10:56        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1844534592.avg\1844534592.avg.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行


病毒想释放衍生物,被VSE拦截后就没动作了
手动将当前进程列表中的病毒进程轻松结束




C:\测试\1346500800\1346500800.exe

2014/3/4        14:16:31        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:31        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\msvbvm60.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:31        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\sechost.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:31        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\combase.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:32        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\imm32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:32        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:32        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\sxs.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:32        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\dwmapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:33        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\version.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\msvbvm60.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\sechost.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\combase.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\imm32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\sxs.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\dwmapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:16:34        已由访问保护规则禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\测试\1346500800\jhProtominer.exe        用户定义的规则:08 入侵控制 exe        已阻止的操作: 创建
2014/3/4        14:16:34        已由访问保护规则禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Users\Kafan\AppData\Roaming\1346500800.exe        用户定义的规则:08 入侵控制 exe        已阻止的操作: 创建
2014/3/4        14:16:38        已由访问保护规则禁止         qftest\Kafan        C:\测试\1346500800\1346500800.exe        C:\Windows\SysWOW64\cmd.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取



同上。。





C:\测试\1348425468\1348425468.exe


2014/3/4        14:20:10        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:10        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\apphelp.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:10        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\msvbvm60.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\sechost.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\combase.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\imm32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\sxs.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\dwmapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\version.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\apphelp.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\secur32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\sechost.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\imm32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\combase.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\version.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\sfc.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\sfc_os.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\dnsapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\netapi32.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\netutils.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\srvcli.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\wkscli.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\samcli.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\SHCore.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\profapi.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\ntmarta.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\samlib.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:15        已由访问保护规则禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\ProgramData\openoffic0\riaiccape.exe        用户定义的规则:08 入侵控制 exe        已阻止的操作: 创建
2014/3/4        14:20:19        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\1348425468\1348425468.exe        C:\Windows\SysWOW64\mswsock.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/4        14:20:19        被端口阻挡规则阻挡         C:\测试\1348425468\1348425468.exe        通用最大保护:禁止 HTTP 通信        157.56.96.156:80
2014/3/4        14:20:37        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CS1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:21:19        被端口阻挡规则阻挡         C:\测试\1348425468\1348425468.exe        通用最大保护:禁止 HTTP 通信        220.250.64.25:80
2014/3/4        14:21:33        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CS1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:21:33        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CW1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:21:47        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CS1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:21:47        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CW1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:22:15        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CS1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:22:15        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CW1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:22:19        被端口阻挡规则阻挡         C:\测试\1348425468\1348425468.exe        通用最大保护:禁止 HTTP 通信        220.250.64.25:80
2014/3/4        14:22:29        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CS1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:22:29        已由访问保护规则禁止         qftest\Kafan        C:\windows\SysWOW64\NOTEPAD.EXE        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Classes\CLSID\{69DE8E9C-DADD-C548-A138-C6D91036847C}\10E002F5\CW1        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建
2014/3/4        14:23:19        被端口阻挡规则阻挡         C:\测试\1348425468\1348425468.exe        通用最大保护:禁止 HTTP 通信        94.102.63.150:80
2014/3/4        14:24:19        被端口阻挡规则阻挡         C:\测试\1348425468\1348425468.exe        通用最大保护:禁止 HTTP 通信        94.102.63.150:80


这个病毒有自我保护,PCHunter无法结束进程,非常的顽固,结束后不断生成新进程试图联网,最后无奈放大招(启用“阻止对所有共享资源的读写访问”)才终止

重启后检查系统正常,没有残留物,防御成功



后面的这两个毒都是隐藏的,要打开显示才行




COMODO D+事件日志:http://bbs.kafan.cn/forum.php?mo ... 55&pid=30592370

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
发表于 2014-3-4 18:20:05 | 显示全部楼层
qftest 发表于 2014-3-4 16:23
纯VSE、开GAE、基本只开主楼的规则(关闭月神、关闭阻止对所有共享资源的读写访问、关闭禁止远程创建.. ...

病毒有自我保护还是被注入没拦截到?注入之后就是这样,杀不掉,除非注销
qftest
 楼主| 发表于 2014-3-4 20:18:28 | 显示全部楼层
墨家小子 发表于 2014-3-4 18:20
病毒有自我保护还是被注入没拦截到?注入之后就是这样,杀不掉,除非注销

纯咖啡拦不到注入动作,已被注入
好在被规则拦截了生成的文件,没有造成更大的破坏,重启就没事了
qftest
 楼主| 发表于 2014-3-4 20:22:04 | 显示全部楼层
墨家小子 发表于 2014-3-4 18:20
病毒有自我保护还是被注入没拦截到?注入之后就是这样,杀不掉,除非注销

其他进程也被注入了,不过病毒主进程可以通过打开“阻止对所有共享资源的读写访问”这条规则然后强行用PCHunter干掉
只要主进程被干掉基本上看不到进一步动作了,这时只要手动删除被改写的启动项然后重启就OK
墨家小子
发表于 2014-3-4 20:56:47 | 显示全部楼层
qftest 发表于 2014-3-4 20:22
其他进程也被注入了,不过病毒主进程可以通过打开“阻止对所有共享资源的读写访问”这条规则然后强行用PC ...

看来阻止对所有共享资源的读写访问是禁运王道啊
墨家小子
发表于 2014-3-4 20:57:24 | 显示全部楼层
qftest 发表于 2014-3-4 20:18
纯咖啡拦不到注入动作,已被注入
好在被规则拦截了生成的文件,没有造成更大的破坏,重启就没事了

只要没被写启动,注销也可以的吧
Facade
发表于 2014-3-4 21:15:48 | 显示全部楼层
进来了解学习一下
qftest
 楼主| 发表于 2014-3-6 09:49:37 | 显示全部楼层

Win8x64 咖啡豆基础规则

本帖最后由 qftest 于 2014-3-6 09:51 编辑

3.6规则更新

实战fiqo.exe、JR.exe及蠕虫ho.exe:
http://bbs.kafan.cn/thread-1693455-1-1.html



fiqo.exe

已由访问保护规则禁止         qftest\Kafan        C:\测试\fiqo\fiqo.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 删除
被端口阻挡规则阻挡         C:\测试\fiqo\fiqo.exe        通用最大保护:禁止 HTTP 通信        192.243.126.53:80





JR.exe

访问保护规则禁止         qftest\Kafan        C:\测试\JR\JR.exe        C:\Windows\SysWOW64\WerFault.exe        用户定义的规则:01 调用系统程序        已阻止的操作: 读取





蠕虫ho.exe

2014/3/5        22:56:35        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        C:\Users\Kafan\zisedarqozyv.exe        用户定义的规则:02 入侵控制_exe        已阻止的操作: 创建
2014/3/5        22:56:35        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:56:36        被端口阻挡规则阻挡         C:\测试\ho\ho.exe        防病毒标准保护:禁止群发邮件蠕虫发送邮件        65.55.96.11:25
2014/3/5        22:56:38        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 删除
2014/3/5        22:56:38        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 创建
2014/3/5        22:56:38        被端口阻挡规则阻挡         C:\测试\ho\ho.exe        通用最大保护:禁止 HTTP 通信        66.37.225.130:80
2014/3/5        22:56:40        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:56:46        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:56:51        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:56:56        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:01        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:06        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:11        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:21        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:26        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:31        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:36        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:39        被端口阻挡规则阻挡         C:\测试\ho\ho.exe        通用最大保护:禁止 HTTP 通信        220.250.64.25:80
2014/3/5        22:57:41        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:46        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:51        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014/3/5        22:57:56        已由访问保护规则禁止         qftest\Kafan        C:\测试\ho\ho.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Run\zisedarqozyv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建






单奔VSE时规则最好使用绝对路径并应用交错排除法,但与COMODO搭配时就无必要了,只需防住关键部位即可,打蛇七寸、排除量大减

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
发表于 2014-3-6 11:18:58 | 显示全部楼层
qftest 发表于 2014-3-6 09:49
3.6规则更新

实战fiqo.exe、JR.exe及蠕虫ho.exe:

求小q测试一下远控那种类型的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 12:59 , Processed in 0.102809 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表