MD5: 17D153测主防

wangjay1980

如此多的提示，还差点火候。江民没有行为识别吗？

will

江民有所谓的“智能判别”  某些KV认为风险很低的操作会自动放过（但是会在日志里记录） 不过的确还缺点火候
希望以后的版本能做到高智能吧

wangjay1980

谢谢，了解一些，只是感觉有点更像HIPS，希望江民继续努力

a256886572008

2007-12-24 17:33:25    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\Setup.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*


2007-12-24 17:33:28    刪除登錄檔      操作:封鎖
程序路徑:D:\Setup.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


2007-12-24 17:33:39    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2007-12-24 17:33:42    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\LSASS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2007-12-24 17:33:45    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\SMSS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2007-12-24 17:33:48    建立檔案      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe


2007-12-24 17:33:52    建立檔案      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\ntfsus.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-24 17:33:53    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\ntfsus.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*


2007-12-24 17:33:57    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*


2007-12-24 17:34:02    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys


2007-12-24 17:34:03    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:[Key]
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2007-12-24 17:34:07    安裝服務或驅動      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->*


2007-12-24 17:34:09    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi00
登錄檔名稱:ImagePath
登錄檔數值:\??\C:\NetApi00.sys
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2007-12-24 17:34:11    載入驅動程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\services.exe
裝置名稱:NetApi00
觸發規則:所有程序規則->*


2007-12-24 17:34:12    刪除檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys


2007-12-24 17:34:15    刪除檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-24 17:34:17    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.000
觸發規則:所有程序規則->全域設定_普通模式->*


2007-12-24 17:34:20    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\com\netcfg.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll

2007-12-24 17:34:29    執行應用程序      操作:封鎖
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*


2007-12-24 17:34:33    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2007-12-24 17:34:41    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.dll


2007-12-24 17:34:46    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2007-12-24 17:34:49    執行應用程序      操作:封鎖
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:start
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2007-12-24 17:34:55    安裝整體掛鉤      操作:封鎖
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->*

2007-12-24 17:35:09    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\ntfsus.exe.bat
觸發規則:所有程序規則->全域設定_可執行檔案1->*.bat

2007-12-24 17:36:47    執行應用程序      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c C:\ntfsus.exe.bat
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:36:58    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\attrib.exe
指令列:-a -r -s -h "C:\ntfsus.exe"
觸發規則:所有程序規則->*

2007-12-24 17:37:08    刪除檔案      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\ntfsus.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

2007-12-24 17:39:12    刪除檔案      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\ntfsus.exe.bat
觸發規則:所有程序規則->全域設定_可執行檔案1->*.bat

2007-12-24 17:35:06    執行應用程序      操作:允許
程序路徑:D:\Setup.exe
檔案路徑:C:\WINDOWS\system32\com\LSASS.EXE
觸發規則:所有程序規則->*

2007-12-24 17:35:12    刪除登錄檔      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:[Key]
觸發規則:黑名單->受保護的登錄檔->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


2007-12-24 17:35:16    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2007-12-24 17:35:20    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\LSASS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2007-12-24 17:35:21    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cacls.exe
指令列:C:\WINDOWS\system32\com\SMSS.EXE /e /t /g Hung Jui Hung:F
觸發規則:所有程序規則->*


2007-12-24 17:35:24    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\SMSS.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:35:34    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\ntfsus.exe"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:35:43    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\ntfsus.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2007-12-24 17:35:47    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*


2007-12-24 17:35:49    建立檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys


2007-12-24 17:35:55    載入驅動程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\services.exe
裝置名稱:NetApi00
觸發規則:所有程序規則->*


2007-12-24 17:35:57    刪除檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\NetApi00.sys
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.sys


2007-12-24 17:35:59    刪除檔案      操作:允許
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\00302.log
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-24 17:36:10    執行應用程序      操作:封鎖
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\regsvr32.exe
指令列:C:\WINDOWS\system32\com\netcfg.dll /s
觸發規則:所有程序規則->*

2007-12-24 17:36:21    執行應用程序      操作:封鎖
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\net.exe
指令列:start
觸發規則:所有程序規則->系統程式_黑名單->%windir%\system32\net*.exe

2007-12-24 17:36:30    安裝整體掛鉤      操作:封鎖
程序路徑:C:\ntfsus.exe
檔案路徑:C:\WINDOWS\system32\dnsq.dll
觸發規則:所有程序規則->*

2007-12-24 17:36:25    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.000"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:36:36    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\com\netcfg.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:36:44    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動\~.exe
觸發規則:所有程序規則->*

2007-12-24 17:36:48    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\WINDOWS\system32\dnsq.dll"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:37:00    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c rd /s /q "C:\ntfsus.exe"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:37:02    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\ntfsus.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*

2007-12-24 17:37:28    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:c:\program files\winrar\rar.exe
指令列:X "D:\Memory\msn\msn.rar" "C:\WINDOWS\system32\com\bak\msn.rar\" -r -inul -ibck -y
觸發規則:所有程序規則->*

開始叫rar.exe作壞事情

2007-12-24 17:37:35    修改檔案      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\Memory\saved files\SafeXP\SafeXPHelp-FR.htm
觸發規則:所有程序規則->全域設定_普通模式->*

開始感染.htm文件

2007-12-24 17:37:48    建立檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

2007-12-24 17:38:10    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\~^|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE"
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe

2007-12-24 17:38:16    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\~|D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->*

2007-12-24 17:38:24    結束/建立程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
目標程序:C:\WINDOWS\system32\cmd.exe
觸發規則:所有程序規則->*

2007-12-24 17:38:29    修改檔案      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:D:\MSOCache\All Users\90000404-6000-11D3-8CFE-0150048383C9\FILES\PFILES\COMMON\MSSHARED\DW\DW20.EXE
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe

開始感染.exe文件

2007-12-24 17:39:09    刪除檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\Com\~
觸發規則:所有程序規則->全域設定_普通模式->*

上面這一塊，一直運行下去！

2007-12-24 17:41:55    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
登錄檔名稱:ShowSuperHidden
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*


2007-12-24 17:41:58    刪除登錄檔      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*


2007-12-24 17:42:01    刪除登錄檔      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
登錄檔名稱:[Key]
觸發規則:所有程序規則->系統設定->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Control\Safeboot*


2007-12-24 17:42:03    修改登錄檔內容      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
登錄檔名稱:Type
登錄檔數值:radio
觸發規則:所有程序規則->檔案總管->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2007-12-24 17:42:06    建立檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\AUTORUN.INF
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

2007-12-24 17:42:06    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\LSASS.EXE^|C:\pagefile.pif"
觸發規則:應用程序規則->自動建立規則->C:\WINDOWS\system32\com\LSASS.EXE->C:\WINDOWS\system32\cmd.exe


2007-12-24 17:42:06    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\LSASS.EXE|C:\pagefile.pif
觸發規則:應用程序規則->系統程式->%windir%\system32\cmd.exe->C:\WINDOWS\system32\com\SMSS.EXE


2007-12-24 17:42:08    建立檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:C:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2007-12-24 17:42:09    建立檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:D:\AUTORUN.INF
觸發規則:所有程序規則->白名單與黑名單->?:\autorun.inf

2007-12-24 17:42:09    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c "C:\WINDOWS\system32\com\SMSS.EXE C:\WINDOWS\system32\com\LSASS.EXE^|D:\pagefile.pif"
觸發規則:應用程序規則->自動建立規則->C:\WINDOWS\system32\com\LSASS.EXE->C:\WINDOWS\system32\cmd.exe


2007-12-24 17:42:09    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\WINDOWS\system32\com\SMSS.EXE
指令列:C:\WINDOWS\system32\com\LSASS.EXE|D:\pagefile.pif
觸發規則:應用程序規則->系統程式->%windir%\system32\cmd.exe->C:\WINDOWS\system32\com\SMSS.EXE


2007-12-24 17:42:10    建立檔案      操作:允許
程序路徑:C:\WINDOWS\system32\com\SMSS.EXE
檔案路徑:D:\pagefile.pif
觸發規則:所有程序規則->全域設定_可執行檔案1->*.pif

2007-12-24 17:42:22    執行應用程序      操作:封鎖
程序路徑:C:\WINDOWS\system32\com\LSASS.EXE
檔案路徑:C:\WINDOWS\system32\ping.exe
指令列:-f -n 1 www.baidu.com
觸發規則:所有程序規則->*

[ 本帖最后由 a256886572008 于 2007-12-24 18:14 编辑 ]

浪滔天

又是那个能关闭很多杀软的？。。。。
测过一个，把卡巴关了，冰刃也被结束。
好像是模拟键盘鼠标点击。。。。

sanhu35

江民貌似什么都报 不过这样也不错了
有费尔的么？ 测测

saga3721

ZA可以防

浪滔天

卡巴 7.0.1.321
运行后卡巴的主防提示窗口一闪而过，卡巴随即被关闭，马上手动重启电脑。。。。

启动后打开卡巴的报告，有主防的一些记录：

已检测到: 风险软件 Hidden install        正在运行的进程: F:\病毒样本\样本\Setup.exe
已检测到: 风险软件 Invader        正在运行的进程: C:\ntfsus.exe




2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 可疑操作，试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS  值:  数据:)。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS  值:  数据:)被允许。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 可疑操作，试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI  值:  数据:)。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI  值:  数据:)被允许。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 可疑操作，试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL  值:  数据:)。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL  值:  数据:)被允许。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 可疑操作，试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents  值:  数据:)。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents  值:  数据:)被允许。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 可疑操作，试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  值:  数据:)。
2007-12-24 18:46:01        进程 F:\病毒样本\样本\Setup.exe （PID: 4068）: 试图删除系统启动时的自动执行模块列表 (键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  值:  数据:)被允许。
2007-12-24 18:46:03        进程 C:\WINDOWS\system32\cmd.exe （PID: 0）: 试图执行可疑操作被允许。
2007-12-24 18:46:04        进程 C:\WINDOWS\system32\cmd.exe （PID: 0）: 试图执行可疑操作被允许。
2007-12-24 18:46:04        进程 C:\ntfsus.exe （PID: 1164）: 试图将自身嵌入到其它进程被允许。
2007-12-24 18:46:04        进程 C:\WINDOWS\system32\cmd.exe （PID: 0）: 试图执行可疑操作被允许。
2007-12-24 18:46:05        进程 C:\WINDOWS\system32\cmd.exe （PID: 0）: 试图执行可疑操作被允许。
2007-12-24 18:46:05        进程 C:\WINDOWS\system32\cmd.exe （PID: 0）: 试图执行可疑操作被允许。
2007-12-24 18:46:05        进程 C:\WINDOWS\system32\cmd.exe （PID: 0）: 试图执行可疑操作被允许。


本身的这些动作卡巴的主防应该能够发现，但被关闭程序后卡巴就无能为力了。

附生成物：

qigang

Rising20.24.02未杀，不作为。

qigang

Rising20.24.02照样无视其中任何一个。