测测主防（请勿实机运行）

wjy19800315

试试你的杀软主防


密码 infected

sanhu35

删除自启动，修改com文件夹权限，修改隐藏文件的设置，破坏安全模式，发消息exp


2015-11-18 21:59:33    删除注册表项    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-18 21:59:33    删除注册表项    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-18 21:59:33    删除注册表项    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
规则: [注册表组]自动运行 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Run*

2015-11-18 21:59:33    创建新进程    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Administrator:F
规则: [应用程序]* -> [子应用程序]『禁运』黑名单

2015-11-18 21:59:33    创建新进程    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F
规则: [应用程序]* -> [子应用程序]『禁运』黑名单

2015-11-18 21:59:33    修改注册表值    阻止
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
值: 0x00000000(0)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*; *Hidden*

2015-11-18 21:59:33    删除注册表项    阻止并结束进程
进程: c:\documents and settings\administrator\local settings\temp\rarsfx0\setup.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
规则: [注册表组]秒杀高危 -> [注册表]*\System\*controlset*\Control\Safeboot*

2015-11-18 21:59:35    向其他进程发送消息    阻止
进程: c:\documents and settings\administrator\桌面\bouiyhgfd\hfvhgygugh.exe
目标: c:\windows\explorer.exe
消息: 0x0419
规则: [应用程序]*

cwl12315

衍生物报Trojan:Win32/Killav.gen!A
费尔关闭实时防御，双击样本，被Kill，已经打不开了。
windows defender不断的报毒。
comodo也进不去界面了

liulangzhecgr

2015/11/19 17:34:37    创建新进程    允许
进程: c:\windows\explorer.exe
目标: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
命令行: "G:\Download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe"
规则: [应用程序]*

2015/11/19 17:35:05    修改注册表值    阻止
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: HKEY_CURRENT_USER\Software\SogouInput.user\SogouComponentFirstLoad
值: 0x564d97b5(1447925685)
规则: [应用程序组]病毒测试 -> [注册表]*

2015/11/19 17:35:17    修改文件    阻止
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\LocalLow\SogouPy\verify.ini
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:36:15    创建文件夹    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\RarSFX0
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:36:31    创建文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\RarSFX0\Setup.exe
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:38:12    修改文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: \Device\NamedPipe\srvsvc
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:38:20    访问COM接口    阻止
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: {9E175B6D-F52A-11D8-B9A5-505054503030} Search Gatherer Notification
规则: [应用程序组]病毒测试 -> [COM接口]*

2015/11/19 17:38:34    修改文件    阻止
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\ProgramData\SogouInput\Components\Picface\Cloud\sgim_picface_cloud_bak.bin
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:38:43    创建文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\ud2C370.tmp
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:38:47    创建文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\E7F1.tmp
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:38:53    创建文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\ud2F673.tmp
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:38:58    创建文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\10A8.tmp
规则: [应用程序组]病毒测试 -> [文件]*

2015/11/19 17:39:03    创建文件    允许
进程: g:\download\bouiyhgfd\bouiyhgfd\hfvhgygugh.exe
目标: C:\Users\Administrator\AppData\Local\Temp\tempfastpassport.ini
规则: [应用程序组]病毒测试 -> [文件]*


被applocker 阻止运行...!

xu3160668

AVG  IDP  杀了

wjy19800315

xu3160668 发表于 2015-11-18 17:46
AVG  IDP  杀了

扫描avg没有报吗？
需要avg双击？？？？
截个图看看
谢谢

pal家族

没有传统智能主防的只能测试扫描了

xu3160668

wjy19800315 发表于 2015-11-18 17:47
扫描avg没有报吗？
需要avg双击？？？？
截个图看看

报了   但是我关闭防御 测试 IDP     IDP也报了  不过我是把那个文件解压出来才双击的   直接双击好像不报 等下在试试

xu3160668

wjy19800315 发表于 2015-11-18 17:47
扫描avg没有报吗？
需要avg双击？？？？
截个图看看

也有可能  我用的是360沙箱 有问题 不是实机

wjy19800315

xu3160668 发表于 2015-11-18 17:52
报了   但是我关闭防御 测试 IDP     IDP也报了  不过我是把那个问价解压出来才双击的   直接双击好像不 ...

是实机吗
建议虚拟机运行，有风险啊

xu3160668

wjy19800315 发表于 2015-11-18 17:54
是实机吗
建议虚拟机运行，有风险啊

行为真多...

wjy19800315

xu3160668 发表于 2015-11-18 17:55
行为真多...

实机，主防拦不住，就惨了啊

xu3160668

wjy19800315 发表于 2015-11-18 17:55
实机，主防拦不住，就惨了啊

哈哈   刚才测试了下  IDP都能拦截的  只不过要等很久很久