楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
qftest
 楼主| 发表于 2014-3-2 13:13:21 | 显示全部楼层
cobrayang 发表于 2014-3-2 11:07
咖啡所有规则恢复到默认标准保护,仅加一条“阻止对所有共享资源的读写访问”,你看有样本能过吗?这条规则 ...

“阻止对所有共享资源的读写访问”就是默认的“防病毒爆发控制”规则,这条全局禁运规则不放行当然不能执行
qftest
 楼主| 发表于 2014-3-2 13:13:59 | 显示全部楼层
cobrayang 发表于 2014-3-2 11:09
毛豆所有规则恢复到默认,清空默认的信任厂商列表,再去掉文件评级里的4个勾,你看有样本能过不?如果能过 ...

这可不好说
qftest
 楼主| 发表于 2014-3-2 13:15:21 | 显示全部楼层
墨家小子 发表于 2014-3-2 13:11
其实我的意思是,看你的麦咖啡规则能不能防御住系统程序被利用(劫持、注入、DDE)之后的一些行为。如 ...

咖啡只是禁运,我不懂怎么防注入。。
qftest
 楼主| 发表于 2014-3-2 13:16:44 | 显示全部楼层
墨家小子 发表于 2014-3-2 13:11
其实我的意思是,看你的麦咖啡规则能不能防御住系统程序被利用(劫持、注入、DDE)之后的一些行为。如 ...

这样的话要故意关闭comodo,然后启用禁运来看了,我去试试
墨家小子
发表于 2014-3-2 13:17:06 | 显示全部楼层
qftest 发表于 2014-3-2 13:15
咖啡只是禁运,我不懂怎么防注入。。

不是防御注入,让它注入好了,注入之后系统程序的一些异常行为,你的规则能不能防御这是重点
墨家小子
发表于 2014-3-2 13:18:51 | 显示全部楼层
qftest 发表于 2014-3-2 13:16
这样的话要故意关闭comodo,然后启用禁运来看了,我去试试

木马无法写入启动项 无法加入服务项 驱动 ,那就是死马,不用那么严厉的禁运
蓝核
发表于 2014-3-2 13:26:39 | 显示全部楼层
没有@我成功唉……我出门坐车上再看看~~
cobrayang
发表于 2014-3-2 13:26:48 | 显示全部楼层
墨家小子 发表于 2014-3-2 13:18
木马无法写入启动项 无法加入服务项 驱动 ,那就是死马,不用那么严厉的禁运

不写启动项,也不加驱,只注入到良民程序中后台联网运行,可以不。。。
cobrayang
发表于 2014-3-2 13:51:09 | 显示全部楼层

小赌5Q币,如果你给一个样本,我用上述方法设置毛豆后,还能中招,我愿赌服输。。
qftest
 楼主| 发表于 2014-3-2 14:45:26 | 显示全部楼层
本帖最后由 qftest 于 2014-3-2 22:56 编辑
墨家小子 发表于 2014-3-2 13:18
木马无法写入启动项 无法加入服务项 驱动 ,那就是死马,不用那么严厉的禁运


1、卸载comodo,然后关闭月神、“阻止对所有共享资源的读写访问”和自定义09,运行病毒:

2014/3/2        13:17:39        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        13:17:39        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        13:17:44        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建
2014/3/2        13:34:29        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        13:34:29        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        13:34:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建

2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\apphelp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\Fonts\sserife.fon        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\cryptsp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\rsaenh.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Users\Kafan\AppData\Local\Temp\~DF5B38B0E86A055E41.TMP        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 创建
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\dwmapi.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:37        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\zh-CN\user32.dll.mui        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\测试\explorer联网\1dsve2wefd.exe        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\apphelp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\apppatch\sysmain.sdb        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        13:35:53        已由访问保护规则禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        13:35:53        已由访问保护规则禁止         qftest\Kafan        C:\测试\explorer联网\1dsve2wefd.exe        C:\Windows\SysWOW64\wbem\WMIC.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取

2014/3/2        13:39:35        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        13:40:25        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\Windows\Temp\winstore.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        13:40:28        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        13:40:28        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\rundll32.exe        C:\Windows\Temp\winstore.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        13:40:28        被端口阻挡规则阻挡         C:\windows\system32\rundll32.exe        通用最大保护:禁止 HTTP 通信        64.4.11.25:443
2014/3/2        13:40:30        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\wsqmcons.exe        C:\Windows\Temp\winstore.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014/3/2        13:40:30        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\wsqmcons.exe        C:\WINDOWS\SYSTEM32        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014/3/2        13:40:46        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        13:40:46        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行



没有被修改启动项,未发现不明服务项,当前进程列表中未出现C:\Windows\SysWOW64\explorer.exe,系统运行正常



2、关闭月神+直接禁止VSE访问保护关闭所有规则、运行病毒:

2014/3/2        14:00:48        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:00:48        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建

2014/3/2        14:01:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Prefetch\ADDRESSBOOK.PIF-8E1AAD2E.pf        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\ntdll.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64win.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64cpu.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\kernel32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\kernel32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\user32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\ntdll.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\KernelBase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\locale.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\user32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\gdi32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\advapi32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\ole32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:07        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\oleaut32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:07        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msvcrt.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:07        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:08        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\rpcrt4.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:08        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:08        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sspicli.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:08        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\cryptbase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:09        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\bcryptprimitives.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:09        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:09        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msctf.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:10        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:10        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\C_1252.NLS        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:10        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\cryptsp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\rsaenh.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:11        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\dwmapi.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\zh-CN\user32.dll.mui        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:12        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:13        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:13        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:13        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:13        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:14        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:14        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Fonts\sserife.fon        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:14        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\cryptsp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\rsaenh.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Users\Kafan\AppData\Local\Temp\~DFC5EEA2D13E4E676D.TMP        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 创建
2014/3/2        14:01:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\dwmapi.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:01:15        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\zh-CN\user32.dll.mui        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取






当前进程列表出现C:\Windows\SysWOW64\explorer.exe
启动项被修改为C:\Users\Kafan\Documents\AddressBook\AddressBook.pif并被加载执行,一段时间内导致CPU占用过高系统运行缓慢,该衍生物进程后来自动退出
也许速度太快?未发现不明网络连接
未发现不明服务
衍生物:http://bbs.kafan.cn/forum.php?mo ... 03&pid=30582930



3、然后打开VSE访问保护规则,保持关闭“阻止对所有共享资源的读写访问”和自定义09,等了一会再重启:

2014/3/2        14:07:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        14:07:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        14:12:49        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:12:49        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建

2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Prefetch\ADDRESSBOOK.PIF-8E1AAD2E.pf        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\ntdll.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64win.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64cpu.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\kernel32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\kernel32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\user32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\ntdll.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\KernelBase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\locale.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\advapi32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msvcrt.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\rpcrt4.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sspicli.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\cryptbase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\bcryptprimitives.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\user32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\gdi32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\ole32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\oleaut32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msctf.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\C_1252.NLS        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\msvbvm60.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:03        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:04        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\combase.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:04        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\imm32.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:04        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Globalization\Sorting\SortDefault.nls        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\uxtheme.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sxs.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:05        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Fonts\sserife.fon        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\cryptsp.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\rsaenh.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Users\Kafan\AppData\Local\Temp\~DFC56E0E651DAA5788.TMP        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 创建
2014/3/2        14:13:06        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\dwmapi.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:07        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\zh-CN\user32.dll.mui        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:18        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:18        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:18        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:13:18        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\explorer.exe        用户定义的规则:04 访问Windows程序        已阻止的操作: 读取
2014/3/2        14:16:12        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        14:19:08        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        14:19:08        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        14:23:04        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        14:23:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行







重启后,当前进程列表中未出现C:\Windows\SysWOW64\explorer.exe,未发现不明连接,系统运行正常



4、保持关闭“阻止对所有共享资源的读写访问”、打开自定义09,重启:

2014/3/2        14:28:11        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建
2014/3/2        14:28:43        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:28:43        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建

2014/3/2        14:28:55        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Prefetch\ADDRESSBOOK.PIF-8E1AAD2E.pf        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:28:55        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\ntdll.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/2        14:28:55        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/2        14:28:55        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行




系统运行正常



5、打开“阻止对所有共享资源的读写访问”,重启:

2014/3/2        14:31:29        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建
2014/3/2        14:31:56        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:31:56        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:32:09        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\Prefetch\ADDRESSBOOK.PIF-8E1AAD2E.pf        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:32:09        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取
2014/3/2        14:35:20        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        14:36:11        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\system32\lsass.exe        \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa        防病毒标准保护:禁止更改用户权限策略        已阻止的操作: 创建
2014/3/2        14:36:43        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:36:43        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\system32\dashost.exe        \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
2014/3/2        14:36:55        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\ntdll.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/2        14:36:55        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\SysWOW64\uxtheme.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/2        14:36:55        已由访问保护规则禁止         qftest\Kafan        C:\Users\Kafan\Documents\AddressBook\AddressBook.pif        C:\Windows\System32\wow64.dll        用户定义的规则:09 访问控制 dll        已阻止的操作: 执行
2014/3/2        14:39:40        已由访问保护规则禁止         qftest\Kafan        C:\windows\system32\taskhostex.exe        C:\Users\Kafan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\container.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
2014/3/2        14:43:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI4A92.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行
2014/3/2        14:43:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\windows\System32\svchost.exe        C:\Users\Kafan\AppData\Local\Temp\MSI490A.tmp        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行




系统运行正常

测试结束


测试结果显示即使关闭所有规则中毒,打开规则后重启,能有效阻止该病毒在启动时自动加载

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 00:09 , Processed in 0.089468 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表