收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 呼唤双击敢死队,谁来双击玩这个Zbot!GO 变种,切记, ...
123下一页
返回列表 发新帖
查看: 4468|回复: 28
收起左侧

[病毒样本] 呼唤双击敢死队,谁来双击玩这个Zbot!GO 变种,切记,请不要实机测试

[复制链接]
驭龙
发表于 2015-12-1 14:07:00 | 显示全部楼层 |阅读模式
一年前的Zbot变种,现在大多数杀软都杀,只能双击玩,切记,不要实机玩,否则后果自负。
@aboringman  @pal家族   @墨家小子      @@@@@@,一时间想不起应该再@谁了

密码:infected

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +5 人气 +1 收起 理由
pal家族 + 1 版区有你更精彩: )
绯色鎏金 + 5 感谢支持,欢迎常来: )

查看全部评分

回复

举报

墨家小子
发表于 2015-12-1 14:13:16 | 显示全部楼层
2015/12/1 14:08:40,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\234234\pdf.exe" )

2015/12/1 14:08:42,C:\Users\AAAAA\Desktop\234234\pdf.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe")

2015/12/1 14:08:44,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=3872))

2015/12/1 14:08:47,C:\Users\AAAAA\Desktop\234234\pdf.exe,53,Allowed ;执行应用程序 ("C:\windows\system32\cmd.exe" /c "C:\Users\AAAAA\AppData\Local\Temp\WWQ8C1B.bat")

2015/12/1 14:08:48,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:50,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:51,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:53,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:54,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:55,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:57,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)
2015/12/1 14:08:58,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)

2015/12/1 14:08:59,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 (C:\windows\System32\rundll32.exe C:\windows\System32\FirewallControlPanel.dll,ShowNotificationDialog /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 2 "C:\users\AAAAA\appdata\roaming\anen\amgou.exe")

2015/12/1 14:09:06,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,Amgou)

2015/12/1 14:09:08,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,54,Allowed ;接受入站网络数据包

2015/12/1 14:09:09,C:\Users\AAAAA\AppData\Roaming\Anen\amgou.exe,48,Allowed ;出站网络访问

评分

参与人数 2经验 +5 人气 +1 收起 理由
绯色鎏金 + 5 感谢支持,欢迎常来: )
驭龙 + 1 版区有你更精彩: )

查看全部评分

回复

举报

aboringman
发表于 2015-12-1 18:47:14 | 显示全部楼层
AVG:

扫描:kill it.

"";"Trojan horse PSW.Generic12.TCT, c:\Users\Killer\Desktop\pdf.exe";"Healed, Moved to Virus Vault";"File or Directory";"2015/12/1, 18:27:01"


双击:关闭监控,保留IDP,实机不入沙,等到行为差不多都出来后(Windows防火墙已提示时),IDP瞬间击杀。

"";"Unknown, C:\Users\Killer\AppData\Roaming\Ovrays\hyba.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/1, 18:30:33"
"";", C:\USERS\KILLER\DESKTOP\新建文件夹\PDF.EXE";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\taskhost.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\dwm.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\explorer.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Program Files\AVG\Framework\Common\avguix.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", D:\sandboxie\SbieCtrl.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", D:\Advanced SystemCare\ASCTray.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\GWX\GWX.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\ctfmon.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\taskmgr.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\rundll32.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\dllhost.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", D:\sandboxie\Start.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\7.1.1.812\360bdoctor.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\Application\360se.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", D:\sandboxie\Start.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Program Files\AVG\Av\avgui.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Program Files\AVG\Av\avgcomdlgx.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Program Files\AVG\Av\avgcomdlgx.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Program Files\AVG\Av\avgcfgex.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\USERS\KILLER\APPDATA\LOCAL\TEMP\EBH2643.BAT";"Deleted";"File or Directory";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\User Data\v3update\download\~TA516E.cab";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\User Data\v3update\download\~520A.cab";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\360se6\User Data\safemon\urllib.dat";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/1, 18:30:33"
"";", C:\Windows\System32\dwm.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", C:\Users\Killer\AppData\Roaming\Ovrays\hyba.exe";"Object was blocked";"Process";"2015/12/1, 18:30:33"
"";", HKEY_USERS\S-1-5-21-1910074467-3606790842-1030588025-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\HYBA";"Deleted, Moved to Virus Vault";"Registry value";"2015/12/1, 18:30:33"


目测AVG没有被成功入侵(详见IDP拦截和回滚的行为列表),用PC Hunter看了一下,没有可疑启动项或驱动存在,防御成功。

@驭龙 上次测试清毒时关闭了所有防护,可能是因为这样AVG的UI被入侵成功的吧。。。。。。

评分

参与人数 2经验 +5 人气 +1 收起 理由
nick20010117 + 1 版区有你更精彩: )
wjy19800315 + 5 版区有你更精彩: )

查看全部评分

回复

举报

蓝天二号
发表于 2015-12-1 14:08:35 | 显示全部楼层
本帖最后由 蓝天二号 于 2015-12-1 14:11 编辑

GD,,话说一年前的 能双击起来 也就真的是敢死队了,,,,,,,

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

驭龙
 楼主| 发表于 2015-12-1 14:13:07 | 显示全部楼层
蓝天二号 发表于 2015-12-1 14:08
GD,,话说一年前的 能双击起来 也就真的是敢死队了,,,,,,,

看来你真的是不懂Zbot的意义啊,哈
回复

举报

驭龙
 楼主| 发表于 2015-12-1 14:17:22 | 显示全部楼层
墨家小子 发表于 2015-12-1 14:13
2015/12/1 14:08:40,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:%users\AAAAA\Desktop\234234\ ...

SSF有没有漏?这个我很好奇呢
回复

举报

墨家小子
发表于 2015-12-1 14:20:49 | 显示全部楼层
驭龙 发表于 2015-12-1 14:17
SSF有没有漏?这个我很好奇呢

没有,我防火墙好好的,启动项服务项驱动没有异常
回复

举报

驭龙
 楼主| 发表于 2015-12-1 14:23:02 | 显示全部楼层
墨家小子 发表于 2015-12-1 14:20
没有,我防火墙好好的,启动项服务项驱动没有异常

看来,这个Zbot不给力,有的Zbot穿沙,过SSF都不是难事,应该是这个变种不是那个类型的
回复

举报

aboringman
发表于 2015-12-1 15:03:49 来自手机 | 显示全部楼层
哈,又是这道菜,还换了口味,不错。
今晚吃吃看味道怎样。
回复

举报

pal家族
发表于 2015-12-1 16:13:45 | 显示全部楼层
本帖最后由 pal家族 于 2015-12-1 16:34 编辑

不是我不想双击,是最近墨家的样本太多了,工作日实在没法双击了
而且我没有办法不让SW调用特征码。。。。
回复

举报

sodium
发表于 2015-12-1 17:26:31 | 显示全部楼层
....点的时候感觉智商不够用了,好多点的可能很奇怪,大家见谅
2015/12/1 17:03:32    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\zuosi\desktop\pdf.exe
命令行: "C:\Users\zuosi\Desktop\pdf.exe"
规则: [应用程序]*

2015/12/1 17:03:40    创建文件    允许
进程: c:\users\zuosi\desktop\pdf.exe
目标: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015/12/1 17:03:50    创建新进程    允许
进程: c:\users\zuosi\desktop\pdf.exe
目标: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
命令行: "C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe"
规则: [应用程序]*

2015/12/1 17:03:57    修改其他进程的内存 (3)    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]*

2015/12/1 17:03:58    向其他进程复制句柄    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
句柄: (Mutant) \BaseNamedObjects\{B18B5C81-D154-FF2A-5EC4-B06E460D9373}
规则: [应用程序]*

2015/12/1 17:04:05    修改其他进程的内存 (6)    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]*

2015/12/1 17:04:06    向其他进程复制句柄    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
句柄: (Event) 0x000000F8
规则: [应用程序]*

2015/12/1 17:04:08    修改其他进程的内存 (3)    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]*

2015/12/1 17:04:10    向其他进程复制句柄    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
句柄: (Process) c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
规则: [应用程序]*

2015/12/1 17:04:12    修改其他进程的内存 (2)    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]*

2015/12/1 17:04:16    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]*

2015/12/1 17:04:19    在其他进程中创建线程    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\dwm.exe
规则: [应用程序]*

2015/12/1 17:04:28    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:04:35    修改注册表值    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:04:37    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:04:45    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:04:47    修改注册表值    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:04:54    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:04:56    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:04:57    修改注册表值    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:05:00    向其他进程复制句柄    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
句柄: (Mutant) \BaseNamedObjects\{B18B5C81-D154-FF2A-82C4-B06E9A0D9373}
规则: [应用程序]*

2015/12/1 17:05:02    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:05:03    修改注册表值    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:05:06    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:05:16    向其他进程复制句柄    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
句柄: (Mutant) \BaseNamedObjects\{B18B5C81-D154-FF2A-F6C4-B06EEE0D9373}
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:05:17    修改注册表值    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:05:20    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:05:21    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:05:22    修改注册表值    阻止
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:05:28    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:05:30    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:05:40    修改注册表值    允许
进程: c:\windows\system32\dwm.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Isawyz
值: C:\Users\zuosi\AppData\Roaming\Daypi\isawyz.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*

2015/12/1 17:05:42    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:05:53    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:05:55    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:05:56    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:05:59    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:01    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:03    向其他进程复制句柄    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
句柄: (Event) 0x000000F8
规则: [应用程序]*

2015/12/1 17:06:05    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:08    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:09    向其他进程复制句柄    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
句柄: (Event) 0x00000104
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:11    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:13    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:14    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:23    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:24    向其他进程复制句柄    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
句柄: (Process) c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
规则: [应用程序]*

2015/12/1 17:06:25    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:27    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:28    向其他进程复制句柄    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
句柄: (Process) c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:29    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:30    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:31    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:31    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:32    在其他进程中创建线程    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskhost.exe
规则: [应用程序]*

2015/12/1 17:06:33    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:34    修改其他进程的内存    允许
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskeng.exe
规则: [应用程序]*

2015/12/1 17:06:36    在其他进程中创建线程    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:39    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskeng.exe
规则: [应用程序]*

2015/12/1 17:06:44    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\program files\vmware\vmware tools\vmtoolsd.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:46    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\taskeng.exe
规则: [应用程序]*

2015/12/1 17:06:47    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\program files\vmware\vmware tools\vmtoolsd.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:52    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\program files\privacyware\privatefirewall 7.0\pfgui.exe
规则: [应用程序]*

2015/12/1 17:06:53    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:06:56    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 49290] ->  [165.254.27.91 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:06:58    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\program files\privacyware\privatefirewall 7.0\pfgui.exe
规则: [应用程序]*

2015/12/1 17:06:59    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:00    访问网络    允许
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [75.87.87.199 : 9865]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:10    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]*

2015/12/1 17:07:14    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:18    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [92.22.58.81 : 4275]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:19    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]*

2015/12/1 17:07:20    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:26    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [189.234.118.158 : 4252]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:27    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]*

2015/12/1 17:07:29    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:32    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [113.28.179.100 : 2424]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:34    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]*

2015/12/1 17:07:35    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:39    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [188.56.106.10 : 2042]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:41    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序]*

2015/12/1 17:07:42    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\program files\privacyware\privatefirewall 7.0\pfgui.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:44    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [68.174.34.89 : 1024]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:45    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\windows\system32\wuauclt.exe
规则: [应用程序]*

2015/12/1 17:07:46    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\program files\privacyware\privatefirewall 7.0\pfgui.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:48    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [86.183.118.44 : 2106 (mzap)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:48    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\users\zuosi\desktop\pdf.exe
规则: [应用程序]*

2015/12/1 17:07:49    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:51    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [86.120.215.141 : 9897]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:52    修改其他进程的内存    阻止
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\users\zuosi\desktop\pdf.exe
规则: [应用程序]*

2015/12/1 17:07:53    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:07:54    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [213.203.175.12 : 3159]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:07:58    修改其他进程的内存    阻止并结束进程
进程: c:\users\zuosi\appdata\roaming\daypi\isawyz.exe
目标: c:\program files\vmware\vmware tools\vmtoolsd.exe
规则: [应用程序]*

2015/12/1 17:08:09    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:08:10    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [68.38.161.147 : 7766]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:08:15    创建文件    允许
进程: c:\users\zuosi\desktop\pdf.exe
目标: C:\Users\zuosi\AppData\Local\Temp\MJR35CD.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2015/12/1 17:08:20    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:08:30    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [84.59.129.23 : 7605]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:08:32    创建新进程    允许
进程: c:\users\zuosi\desktop\pdf.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\zuosi\AppData\Local\Temp\MJR35CD.bat"
规则: [应用程序]*

2015/12/1 17:08:35    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:08:40    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [221.146.12.120 : 5548]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:08:41    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cmd.exe
消息: WM_SETICON
规则: [应用程序]*

2015/12/1 17:08:43    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:08:46    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [75.141.227.93 : 2199]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:08:48    向其他进程发送消息    允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\cmd.exe
消息: WM_SETICON
规则: [应用程序]*

2015/12/1 17:08:51    向其他进程复制句柄    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
句柄: (Mutant) \BaseNamedObjects\{B18B5C81-D154-FF2A-46CF-B06E5E069373}
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:08:53    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [207.71.13.114 : 6269]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:08:55    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:08:59    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [72.54.241.201 : 1374]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:09:02    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:09:06    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [85.108.176.32 : 9301]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:09:08    修改其他进程的内存    允许
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:09:10    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\zuosi\Desktop\pdf.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2015/12/1 17:09:12    访问网络    阻止
进程: c:\windows\system32\taskhost.exe
目标: UDP [本机 : 7967] ->  [65.97.129.62 : 5017]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2015/12/1 17:09:15    修改其他进程的内存    阻止
进程: c:\windows\system32\dwm.exe
目标: c:\users\zuosi\appdata\local\7star\7star\application\7chrome.exe
规则: [应用程序]c:\windows\system32\dwm.exe

2015/12/1 17:09:20    删除文件    允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\zuosi\AppData\Local\Temp\MJR35CD.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

评分

参与人数 1人气 +1 收起 理由
边缘vip + 1 动作不少

查看全部评分

回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-19 22:05 , Processed in 0.132125 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表