楼主: qq316107934
收起左侧

[病毒样本] 最新国产勒索软件-过小红伞和火绒主防

  [复制链接]
540923555
发表于 2016-8-11 09:15:30 | 显示全部楼层
本帖最后由 540923555 于 2016-8-11 09:16 编辑
驭龙 发表于 2016-8-11 09:09
你要知道这已经过去多少时间了?在@pal家族  首次下载的时候,文件已经被WD上报云,自然几个小时就入库了 ...


我承认我是昨天上午才看到帖子的。。。比pal家族晚了几个个小时。。。WD为了一般都先不入库,是先云报plock一天半载的,确认不会误报了,然后才入库报准确名。

我昨天上午下载时候,就已经是准确名了。。所以我当时第一反应是9号应该就入库了
驭龙
发表于 2016-8-11 09:18:32 | 显示全部楼层
本帖最后由 驭龙 于 2016-8-11 10:02 编辑
540923555 发表于 2016-8-11 09:15
我承认我是昨天上午才看到帖子的。。。比pal家族晚了几个个小时。。。WD为了防止误报,一般都先不入库, ...

你随意,我闪了,算了,不说别的,给你个测试吧
正好,我WD是9日下午的特征库,看杀了吗?



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
王百万
发表于 2016-8-11 09:36:07 | 显示全部楼层
光下载,不会中招吧。
km2002
发表于 2016-8-11 09:39:18 | 显示全部楼层
本帖最后由 km2002 于 2016-8-11 09:41 编辑


我昨晚在虚拟机 关掉监控双击 蜘蛛没反应 测试用文件全被加密 难道更新了? 还是说我虚拟机太卡导致蜘蛛没反应过来?
驭龙
发表于 2016-8-11 09:41:11 | 显示全部楼层
km2002 发表于 2016-8-11 09:39
我昨晚在虚拟机 关掉监控双击 蜘蛛没反应 文件被加密 难道更新了?

理论上DPH不依赖于更新,如果是文件已经被蜘蛛认定为非新文件,蜘蛛就不用DPH监控
km2002
发表于 2016-8-11 09:44:36 | 显示全部楼层
驭龙 发表于 2016-8-11 09:41
理论上DPH不依赖于更新,如果是文件已经被蜘蛛认定为非新文件,蜘蛛就不用DPH监控

扫描蜘蛛是杀的  卡会导致蜘蛛反应不过来?!
驭龙
发表于 2016-8-11 09:48:20 | 显示全部楼层
km2002 发表于 2016-8-11 09:44
扫描蜘蛛是杀的  卡会导致蜘蛛反应不过来?!

不是,是因为你这个文件之前扫描过,蜘蛛认为不是新文件,所以蜘蛛的主防不监控,这是蜘蛛的硬伤之一
km2002
发表于 2016-8-11 09:55:01 | 显示全部楼层
驭龙 发表于 2016-8-11 09:48
不是,是因为你这个文件之前扫描过,蜘蛛认为不是新文件,所以蜘蛛的主防不监控,这是蜘蛛的硬伤之一

好吧    下次恢复快照再试
天耀群星
头像被屏蔽
发表于 2016-8-11 09:59:30 | 显示全部楼层
本帖最后由 天耀群星 于 2016-8-11 10:00 编辑

2010/1/1 00:22:43    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\dfa83b644ae56b863939567c488b2793_9ec56742-3818-4a81-b977-c0327bb2171f
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:22:43    修改文件   允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\dfa83b644ae56b863939567c488b2793_9ec56742-3818-4a81-b977-c0327bb2171f
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:22:44    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\AppData\Local\1MkCeBBqmz2LoXjgqce2ghJQ3nY78BRQfgsecretAES_RSAed_base64ed.ckt
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:44    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\AppData\Local\1MkCeBBqmz2LoXjgqce2ghJQ3nY78BRQfgsendBack_RSAkey.ckt
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:44    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\a.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:44    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\b.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:45    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\c.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:45    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-32bit\Images\d.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:45    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\a.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:46    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\b.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:46    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\c.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:46    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\AMD\AMD-Catalyst-Omega-14.12-With-DOTNet45-Win7-32bit\Images\d.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:47    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\Plugin443.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]防捆绑-流氓软件拦截 -> [文件]*; *plugin*

2010/1/1 00:22:47    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\Plugin443.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]防捆绑-流氓软件拦截 -> [文件]*; *plugin*

2010/1/1 00:22:47    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\QQPetAgent_20130114_153700.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:47    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\QQPetAgent_20130114_153700.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:48    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res_QQPetAgent423.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:48    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res_QQPetAgent423.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:48    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\TQOSAgent_20101201_191231.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:49    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\TQOSAgent_20101201_191231.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:49    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:49    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:50    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\setuptitle.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:50    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\setuptitle.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:50    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\title.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:50    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\title.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:51    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:51    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_00.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:51    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:51    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\icon_01.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:51    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:52    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_00.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:52    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:52    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\ProgramData\QQPet\QQPetAgent\res\QQPenguin_gg\tips_01.png
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:22:53    修改文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\setuptitle.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53    修改文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\title.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53    修改文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\icon_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53    修改文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\icon_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53    修改文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\tips_00.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53    修改文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\All Users\QQPet\QQPetAgent\res\QQPenguin_gg\tips_01.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 00:22:53    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\Desktop\protect.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件].\*

2010/1/1 00:22:53    删除文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\ljx\Desktop\protect.rar
规则: [应用程序组]垃圾屏蔽 35 -> [文件].\*

2010/1/1 00:23:02    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Large.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:05    删除文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Large.jpg
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:09    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Small.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:10    删除文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Music\Sample Music\AlbumArt_{5FA05D35-A682-4AF6-96F7-0773E42D4D16}_Small.jpg
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *-*-*-*-*

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Desert.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Koala.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:10    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:11    修改注册表值    允许
进程: c:\windows\system32\searchprotocolhost.exe
目标: HKEY_USERS\.DEFAULT\Software\Classes\Local Settings\MuiCache\41\AAF68885\@C:\Windows\system32\notepad.exe,-469
值: 文本文档
规则: [应用程序组]系统-高权限组 8 -> [注册表]*

2010/1/1 00:23:11    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\d913b4025aafa40f263a5ac9af64034f79f0190d.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:11    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\MD规则界面和介绍.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]秒杀-隐藏根目录文件夹

2010/1/1 00:23:11    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\oumijia.png_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]秒杀-隐藏根目录文件夹

2010/1/1 00:23:11    读文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\2011-11-19-1127.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:11    读文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\DG472_x86.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:11    读文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\GF063.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:13    创建文件    允许
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\IP规则20130418(IP规则优先).rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]询问-其他文件扩展名

2010/1/1 00:23:18    删除文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\IP规则20130418(IP规则优先).rar
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]文件-压缩文件

2010/1/1 00:23:18    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\火龙规则1.0正式版.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\精钢盾.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\键盘记录专家v2.0.zip_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\DG472_x86\DiskGenius\ad\PhoneRecovery.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:18    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\DG472_x86\DiskGenius\ad\PhotoRecovery.jpg_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]文件-图形文件

2010/1/1 00:23:18    创建文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\DNS测试\综合软件(破解版;注册版+注册机)\【打包】木马检测分离工具.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [应用程序]c:\users\ljx\desktop\protect.exe -> [文件]e:\dns测试\*

2010/1/1 00:23:18    读文件    阻止
进程: c:\users\ljx\desktop\protect.exe
目标: E:\HIPS安全规则\COMODO温馨规则_1003.zip
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]保护-可执行文件

2010/1/1 00:23:22    创建文件    阻止并结束进程
进程: c:\users\ljx\desktop\protect.exe
目标: E:\HIPS安全规则\EQSysSecure.rar_按照磁盘根目录或桌面上的(解密步骤.txt)一步步恢复文件.btc
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]询问-其他文件扩展名

2010/1/1 00:23:22    从其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\audiodg.exe
句柄: (File) \Device\00000067\rearlineouttopo
规则: [应用程序]c:\windows\system32\svchost.exe

2010/1/1 00:23:23    从其他进程复制句柄    允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\audiodg.exe
句柄: (File) \Device\00000067\rearlineoutwave
规则: [应用程序]c:\windows\system32\svchost.exe

2010/1/1 00:23:23    创建新进程    阻止并结束进程
进程: c:\users\ljx\desktop\protect.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\dw20.exe
命令行: dw20.exe -x -s 568
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [子应用程序]c:\windows\*.*
tg123321
发表于 2016-8-11 09:59:33 | 显示全部楼层
导演AZ 发表于 2016-8-10 22:37
感觉不像是文件关联吧

是启动项。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 09:07 , Processed in 0.090946 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表