最新国产勒索软件-过小红伞和火绒主防

显示全部楼层 · 发表于 2016-8-11 09:15:30

本帖最后由 540923555 于 2016-8-11 09:16 编辑

驭龙发表于 2016-8-11 09:09
你要知道这已经过去多少时间了？在@pal家族首次下载的时候，文件已经被WD上报云，自然几个小时就入库了 ...

我承认我是昨天上午才看到帖子的。。。比pal家族晚了几个个小时。。。WD为了一般都先不入库，是先云报plock一天半载的，确认不会误报了，然后才入库报准确名。

我昨天上午下载时候，就已经是准确名了。。所以我当时第一反应是9号应该就入库了

显示全部楼层 · 发表于 2016-8-11 09:18:32

本帖最后由驭龙于 2016-8-11 10:02 编辑

540923555 发表于 2016-8-11 09:15
我承认我是昨天上午才看到帖子的。。。比pal家族晚了几个个小时。。。WD为了防止误报，一般都先不入库， ...

你随意，我闪了，算了，不说别的，给你个测试吧
正好，我WD是9日下午的特征库，看杀了吗？

显示全部楼层 · 发表于 2016-8-11 09:36:07

光下载，不会中招吧。

显示全部楼层 · 发表于 2016-8-11 09:39:18

本帖最后由 km2002 于 2016-8-11 09:41 编辑

驭龙发表于 2016-8-11 08:00
http://bbs.kafan.cn/forum.php?mo ... 06&pid=38184916
蜘蛛是可以DPH ...

我昨晚在虚拟机关掉监控双击蜘蛛没反应测试用文件全被加密难道更新了？还是说我虚拟机太卡导致蜘蛛没反应过来？

显示全部楼层 · 发表于 2016-8-11 09:41:11

km2002 发表于 2016-8-11 09:39
我昨晚在虚拟机关掉监控双击蜘蛛没反应文件被加密难道更新了？

理论上DPH不依赖于更新，如果是文件已经被蜘蛛认定为非新文件，蜘蛛就不用DPH监控

显示全部楼层 · 发表于 2016-8-11 09:44:36

驭龙发表于 2016-8-11 09:41
理论上DPH不依赖于更新，如果是文件已经被蜘蛛认定为非新文件，蜘蛛就不用DPH监控

扫描蜘蛛是杀的卡会导致蜘蛛反应不过来？！

显示全部楼层 · 发表于 2016-8-11 09:48:20

km2002 发表于 2016-8-11 09:44
扫描蜘蛛是杀的卡会导致蜘蛛反应不过来？！

不是，是因为你这个文件之前扫描过，蜘蛛认为不是新文件，所以蜘蛛的主防不监控，这是蜘蛛的硬伤之一

显示全部楼层 · 发表于 2016-8-11 09:55:01

驭龙发表于 2016-8-11 09:48
不是，是因为你这个文件之前扫描过，蜘蛛认为不是新文件，所以蜘蛛的主防不监控，这是蜘蛛的硬伤之一

好吧

下次恢复快照再试

显示全部楼层 · 发表于 2016-8-11 09:59:30

本帖最后由天耀群星于 2016-8-11 10:00 编辑

2010/1/1 00:22:43 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\dfa83b644ae56b863939567c488b2793_9ec56742-3818-4a81-b977-c0327bb2171f
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:22:43 修改文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\dfa83b644ae56b863939567c488b2793_9ec56742-3818-4a81-b977-c0327bb2171f
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:22:44 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\AppData\Local\1MkCeBBqmz2LoXjgqce2ghJQ3nY78BRQfgsecretAES_RSAed_base64ed.ckt
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:44 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\AppData\Local\1MkCeBBqmz2LoXjgqce2ghJQ3nY78BRQfgsendBack_RSAkey.ckt
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:44 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\a.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:44 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\b.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:45 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\c.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:45 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\d.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:45 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\a.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:46 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\b.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:46 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\c.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:46 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\d.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:47 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\Plugin443.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]防捆绑-流氓软件拦截 -> [文件]*; *plugin*

2010/1/1 00:22:47 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\Plugin443.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]防捆绑-流氓软件拦截 -> [文件]*; *plugin*

2010/1/1 00:22:47 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\QQPetAgent_20130114_153700.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:47 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\QQPetAgent_20130114_153700.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:48 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res_QQPetAgent423.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:48 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res_QQPetAgent423.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:48 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\TQOSAgent_20101201_191231.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:49 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\TQOSAgent_20101201_191231.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:49 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:49 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:50 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\setuptitle.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:50 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\setuptitle.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:50 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\title.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:50 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\title.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:51 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:51 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_00.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:51 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:51 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_01.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:51 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:52 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_00.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:52 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:52 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_01.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:53 修改文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\setuptitle.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53 修改文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\title.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53 修改文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\icon_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53 修改文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\icon_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53 修改文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\tips_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53 修改文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\tips_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\Desktop\protect.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件].\*

2010/1/1 00:22:53 删除文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\Desktop\protect.rar
规则: [应用程序组]垃圾屏蔽 35 -> [文件].\*

2010/1/1 00:23:02 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Large.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:05 删除文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Large.jpg
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:09 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Small.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:10 删除文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Small.jpg
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Desert.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Koala.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:11 修改注册表值允许
进程: c:\windows\system32\searchprotocolhost.exe
目标: HKEY_USERS\.DEFAULT\Software\Classes\Local Settings\MuiCache\41\AAF68885\@C:\Windows\system32\notepad.exe,-469
值: 文本文档
规则: [应用程序组]系统-高权限组 8 -> [注册表]*

2010/1/1 00:23:11 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\d913b4025aafa40f263a5ac9af64034f79f0190d.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:11 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\MD规则界面和介绍.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]秒杀-隐藏根目录文件夹

2010/1/1 00:23:11 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\oumijia.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]秒杀-隐藏根目录文件夹

2010/1/1 00:23:11 读文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\2011-11-19-1127.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:11 读文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\DG472_x86.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:11 读文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\GF063.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:13 创建文件允许
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\IP规则20130418(IP规则优先).rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]询问-其他文件扩展名

2010/1/1 00:23:18 删除文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\IP规则20130418(IP规则优先).rar
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]文件-压缩文件

2010/1/1 00:23:18 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\火龙规则1.0正式版.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\精钢盾.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\键盘记录专家v2.0.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\DG472_x86\DiskGenius\ad\PhoneRecovery.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:18 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\DG472_x86\DiskGenius\ad\PhotoRecovery.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:18 创建文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\综合软件（破解版；注册版+注册机）\【打包】木马检测分离工具.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18 读文件阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\HIPS安全规则\COMODO温馨规则_1003.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:22 创建文件阻止并结束进程
进程: c:\users\ljx\desktop\protect.exe
目标: E:\HIPS安全规则\EQSysSecure.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]询问-其他文件扩展名

2010/1/1 00:23:22 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\audiodg.exe
句柄: (File) \Device\00000067\rearlineouttopo
规则: [应用程序]c:\windows\system32\svchost.exe

2010/1/1 00:23:23 从其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\audiodg.exe
句柄: (File) \Device\00000067\rearlineoutwave
规则: [应用程序]c:\windows\system32\svchost.exe

2010/1/1 00:23:23 创建新进程阻止并结束进程
进程: c:\users\ljx\desktop\protect.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\dw20.exe
命令行: dw20.exe -x -s 568
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [子应用程序]c:\windows\*.*

显示全部楼层 · 发表于 2016-8-11 09:59:33

导演AZ 发表于 2016-8-10 22:37
感觉不像是文件关联吧

是启动项。。。

[病毒样本] 最新国产勒索软件-过小红伞和火绒主防

本帖子中包含更多资源