收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 可疑文件
12下一页
返回列表 发新帖
查看: 2966|回复: 10
收起左侧

[可疑文件] 可疑文件

[复制链接]
DF快递
发表于 2017-9-14 22:49:26 | 显示全部楼层 |阅读模式
本帖最后由 DF快递 于 2017-9-14 23:16 编辑

rt

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Jerry.Lin
发表于 2017-9-14 22:54:10 | 显示全部楼层
本帖最后由 191196846 于 2017-9-14 23:02 编辑

360TSE DP KILL





VT(13/59) :https://www.virustotal.com/#/fil ... 350c5bfdd/detection

看起来不像是误报

Habo( 未发现风险):
[mw_shl_code=css,true]基本信息
文件名称:        
PatchWinRAR.rar
MD5:        8ed98fc8e71afe407b234a95cd6789c4
文件类型:        Rar
上传时间:        2017-09-14 22:57:36
出品公司:        N/A
版本:        N/A
壳或编译器信息:        PACKER:UPX V2.00-V3.00 -> Markus Oberhumer & Laszlo Molnar & John Reiser *
子文件信息:        详情
关键行为
行为描述:        打开注册表_检测虚拟机相关
详情信息:        
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
进程行为
行为描述:        枚举进程
详情信息:        
N/A
注册表行为
行为描述:        打开注册表_检测虚拟机相关
详情信息:        
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
其他行为
行为描述:        打开事件
详情信息:        
HookSwitchHookEnabledEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
行为描述:        查找指定窗口
详情信息:        
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行为描述:        窗口信息
详情信息:        
Pid = 2632, Hwnd=0x10340, Text = 确定, ClassName = Button.
Pid = 2632, Hwnd=0x10342, Text = Patch unsuccessfully or already!, ClassName = Static.
Pid = 2632, Hwnd=0x50338, Text = Jongan, ClassName = #32770.
行为描述:        打开互斥体
详情信息:        
ShimCacheMutex
行为描述:        创建互斥体
详情信息:        
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
进程树
patchwinrar.exe (PID: 0x00000a48)[/mw_shl_code]

为什么要检测虚拟机呢? 很可疑, 楼主还是小心点

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

DF快递
 楼主| 发表于 2017-9-14 23:15:59 | 显示全部楼层
191196846 发表于 2017-9-14 22:54
360TSE DP KILL

下载区看到的
http://bbs.kafan.cn/thread-2102889-1-1.html
回复

举报

ziyerain2015
发表于 2017-9-14 23:20:48 | 显示全部楼层
解压

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zst470396853
发表于 2017-9-14 23:58:08 | 显示全部楼层
360  QQ

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

mak999
发表于 2017-9-15 00:48:28 | 显示全部楼层
奇怪!打开压缩包AVG有报,但解压出来扫描又没事
回复

举报

mak999
发表于 2017-9-15 00:55:00 | 显示全部楼层
使用後烈火版的确有给改了注册变空空的,暂时无发现有什么问题

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

欧阳宣
头像被屏蔽
发表于 2017-9-15 03:22:28 | 显示全部楼层
BD
Gen:Trojan.Heur.cmGfXji2Cmf
回复

举报

和泉纱雾
发表于 2017-9-15 04:25:08 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

学雷锋做人
头像被屏蔽
发表于 2017-9-15 07:39:47 | 显示全部楼层

[mw_shl_code=css,true]07:37:22[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.9.0.0

07:37:22[2]:(允许)获取进程快照:系统全部进程

07:37:22[3]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AddressBook\DisplayName     数据:

07:37:22[4]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Connection Manager\DisplayName     数据:

07:37:22[5]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DirectDrawEx\DisplayName     数据:

07:37:22[6]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DXM_Runtime\DisplayName     数据:

07:37:22[7]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fontcore\DisplayName     数据:

07:37:22[8]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE40\DisplayName     数据:

07:37:22[9]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE4Data\DisplayName     数据:

07:37:22[10]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE5BAKEX\DisplayName     数据:

07:37:22[11]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IEData\DisplayName     数据:

07:37:22[12]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Client Profile\DisplayName     数据:

07:37:22[14]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Client Profile\DisplayName     数据:H

07:37:22[15]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Extended\DisplayName     数据:

07:37:22[17]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Extended\DisplayName     数据:Microsoft .NET Framework 4 Client Profile

07:37:22[18]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MobileOptionPack\DisplayName     数据:

07:37:22[19]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MPlayer2\DisplayName     数据:

07:37:22[20]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SchedulingAgent\DisplayName     数据:

07:37:22[21]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WIC\DisplayName     数据:

07:37:22[22]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0A0CADCF-78DA-33C4-A350-CD51849B9702}\DisplayName     数据:

07:37:22[24]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0A0CADCF-78DA-33C4-A350-CD51849B9702}\DisplayName     数据:Microsoft .NET Framework 4 Extended

07:37:22[25]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{161C06B4-1009-4A5D-BAAE-75B67414E14D}\DisplayName     数据:

07:37:22[27]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{161C06B4-1009-4A5D-BAAE-75B67414E14D}\DisplayName     数据:Microsoft .NET Framework 4 Extended

07:37:22[28]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3C3901C5-3455-3E0A-A214-0B093A5070A6}\DisplayName     数据:

07:37:22[30]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3C3901C5-3455-3E0A-A214-0B093A5070A6}\DisplayName     数据:VMware Tools

07:37:22[31]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9BE518E6-ECC6-35A9-88E4-87755C07200F}\DisplayName     数据:

07:37:22[33]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9BE518E6-ECC6-35A9-88E4-87755C07200F}\DisplayName     数据:Microsoft .NET Framework 4 Client Profile

07:37:22[34]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AddressBook\DisplayName     数据:

07:37:22[35]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Connection Manager\DisplayName     数据:

07:37:22[36]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DirectDrawEx\DisplayName     数据:

07:37:22[37]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DXM_Runtime\DisplayName     数据:

07:37:22[38]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fontcore\DisplayName     数据:

07:37:22[39]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE40\DisplayName     数据:

07:37:22[40]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE4Data\DisplayName     数据:

07:37:22[41]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE5BAKEX\DisplayName     数据:

07:37:22[42]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IEData\DisplayName     数据:

07:37:22[43]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Client Profile\DisplayName     数据:

07:37:22[45]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Client Profile\DisplayName     数据:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9BE518E6-ECC6-35A9-88E4-87755C07200F}

07:37:22[46]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Extended\DisplayName     数据:

07:37:22[48]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft .NET Framework 4 Extended\DisplayName     数据:Microsoft .NET Framework 4 Client Profile

07:37:22[49]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MobileOptionPack\DisplayName     数据:

07:37:22[50]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MPlayer2\DisplayName     数据:

07:37:22[51]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SchedulingAgent\DisplayName     数据:

07:37:22[52]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WIC\DisplayName     数据:

07:37:22[53]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0A0CADCF-78DA-33C4-A350-CD51849B9702}\DisplayName     数据:

07:37:22[55]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0A0CADCF-78DA-33C4-A350-CD51849B9702}\DisplayName     数据:Microsoft .NET Framework 4 Extended

07:37:22[56]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{161C06B4-1009-4A5D-BAAE-75B67414E14D}\DisplayName     数据:

07:37:22[58]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{161C06B4-1009-4A5D-BAAE-75B67414E14D}\DisplayName     数据:Microsoft .NET Framework 4 Extended

07:37:22[59]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3C3901C5-3455-3E0A-A214-0B093A5070A6}\DisplayName     数据:

07:37:22[61]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3C3901C5-3455-3E0A-A214-0B093A5070A6}\DisplayName     数据:VMware Tools

07:37:22[62]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9BE518E6-ECC6-35A9-88E4-87755C07200F}\DisplayName     数据:

07:37:22[64]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9BE518E6-ECC6-35A9-88E4-87755C07200F}\DisplayName     数据:Microsoft .NET Framework 4 Client Profile

07:37:22[65]:(允许)读取文件:C:\Windows\Registration\R000000000006.clb     访问权限:-2147483648

07:37:22[66]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:22[69]:(阻止)创建注册表键:826\TreatAs\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU\

07:37:22[70]:(允许)时间操作:设置定时器(一)     时间间隔:200ms

07:37:22[71]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0\Disable     数据:

07:37:22[72]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0\DataFilePath     数据:

07:37:22[73]:(允许)读取文件:C:\Windows\Fonts\staticcache.dat     访问权限:-2147483648

07:37:22[74]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane1     数据:xJ?

07:37:22[75]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane2     数据:xJ?

07:37:22[76]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane3     数据:SimSun-ExtB

07:37:22[77]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane4     数据:SimSun-ExtB

07:37:22[78]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane5     数据:SimSun-ExtB

07:37:22[79]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane6     数据:SimSun-ExtB

07:37:22[80]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane7     数据:SimSun-ExtB

07:37:22[81]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane8     数据:SimSun-ExtB

07:37:22[82]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane9     数据:SimSun-ExtB

07:37:22[83]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane10     数据:SimSun-ExtB

07:37:22[84]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane11     数据:SimSun-ExtB

07:37:22[85]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane12     数据:SimSun-ExtB

07:37:22[86]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane13     数据:SimSun-ExtB

07:37:22[87]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane14     数据:SimSun-ExtB

07:37:22[88]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane15     数据:SimSun-ExtB

07:37:22[89]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane16     数据:SimSun-ExtB

07:37:23[90]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

07:37:23[92]:(允许)时间操作:设置定时器(一)     时间间隔:500ms

07:37:23[93]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

07:37:23[94]:(允许)读取注册表键值:952\EnhancedStorageShell\     数据:EnhancedStorageShell

07:37:23[95]:(允许)读取注册表键值:952\Offline Files\     数据:Offline Files

07:37:23[96]:(允许)读取注册表键值:952\SharingPrivate\     数据:SharingPrivate

07:37:23[97]:(允许)查找文件:C:\Windows\system32\*.*

07:37:23[98]:(允许)查找文件:C:\Windows\System32\*.*

07:37:23[99]:(允许)查找文件:C:\Windows\system32\*.*

07:37:23[100]:(允许)打开内核对象:\\.\PIPE\srvsvc(物理设备)

07:37:24[101]:(允许)窗口操作:最底显示窗口

07:37:24[102]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane2     数据:

07:37:24[103]:(允许)窗口操作:最底显示窗口

07:37:24[104]:(阻止)创建注册表键:1122\TreatAs\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU\

07:37:24[105]:(允许)查找文件:*.EXE


07:37:24[106]:(允许)读取文件:C:\     访问权限:1048705

07:37:24[107]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Caches

07:37:24[108]:(允许)读取文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Caches\cversions.1.db     访问权限:-2147483648

07:37:24[109]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Caches

07:37:24[110]:(允许)读取文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Caches\cversions.1.db     访问权限:-2147483648

07:37:24[111]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000000.db

07:37:24[112]:(允许)读取文件:C:\Users\desktop.ini     访问权限:-2147483648

07:37:25[113]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:25[114]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:25[115]:(允许)读取文件:C:\Users\leifeng\Desktop\desktop.ini     访问权限:-2147483648

07:37:25[116]:(允许)读取文件:C:\Users\leifeng\Desktop     访问权限:1048705

07:37:25[117]:(允许)读取文件:C:\     访问权限:1048705

07:37:25[118]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:25[119]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:25[120]:(允许)读取文件:C:\     访问权限:1048705

07:37:25[121]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:25[122]:(允许)读取文件:C:\Users\Public\desktop.ini     访问权限:-2147483648

07:37:25[123]:(允许)读取文件:C:\Users\Public     访问权限:1048705

07:37:25[124]:(允许)读取文件:C:\Users\Public\Desktop\desktop.ini     访问权限:-2147483648

07:37:33[125]:(阻止)创建注册表键:-2147483641\\Software\Microsoft\Windows\Shell

07:37:33[128]:(允许)读取文件:C:\Users\leifeng\Desktop\File_safe\desktop.ini     访问权限:-2147483648

07:37:33[129]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\Software\Microsoft\Windows\Shell

07:37:33[130]:(允许)读取文件:C:\Windows\system32\rsaenh.dll     访问权限:-2147483648

07:37:33[131]:(阻止)创建注册表键:1272\{6193ed9c-7db3-11e7-91dc-806e6f6e6963}\\Software\Microsoft\Windows\Shell

07:37:33[134]:(允许)时间操作:设置定时器(一)     时间间隔:1000ms

07:37:34[135]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:34[140]:(允许)读取文件:C:\Users\leifeng\Desktop\File_safe     访问权限:1048705

07:37:34[141]:(允许)读取文件:C:\     访问权限:1048705

07:37:34[142]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:34[143]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:34[144]:(允许)读取文件:C:\Users\leifeng\AppData     访问权限:1048705

07:37:34[145]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming     访问权限:1048705

07:37:34[146]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\desktop.ini     访问权限:-2147483648

07:37:34[147]:(允许)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft

07:37:34[148]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows     访问权限:1048705

07:37:34[149]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries\desktop.ini     访问权限:-2147483648

07:37:34[150]:(允许)创建文件目录:C:\Users\leifeng

07:37:34[151]:(允许)创建文件目录:C:\Users\leifeng\AppData\Local

07:37:34[152]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer

07:37:34[153]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:34[157]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db     访问权限:1073741824

07:37:34[158]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db     访问权限:-1073741824

07:37:34[159]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db

07:37:34[160]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db

07:37:34[161]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db

07:37:34[162]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db

07:37:34[163]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db

07:37:34[164]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db

07:37:34[165]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete

07:37:34[166]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:34[170]:(允许)时间操作:设置定时器(一)     时间间隔:2000ms

07:37:34[171]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:35[175]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.exe\     数据:

07:37:35[176]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:35[180]:(允许)读取文件:C:\Users\leifeng\Desktop     访问权限:1048705

07:37:35[181]:(允许)读取文件:C:\Users\Public\Desktop     访问权限:1048705

07:37:35[182]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:35[186]:(允许)读取注册表键值:1572\DelegateFolders\     数据:DelegateFolders

07:37:36[187]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:36[191]:(允许)读取注册表键值:1472\DelegateFolders\     数据:DelegateFolders

07:37:36[192]:(允许)读取文件:C:\     访问权限:1048705

07:37:36[193]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:36[194]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:36[195]:(允许)读取文件:C:\Users\leifeng\Favorites\desktop.ini     访问权限:-2147483648

07:37:36[196]:(允许)读取文件:C:\Users\leifeng\Links\desktop.ini     访问权限:-2147483648

07:37:36[197]:(允许)读取文件:C:\Users\leifeng\Links     访问权限:1048705

07:37:36[198]:(允许)读取注册表键值:1312\DelegateFolders\     数据:DelegateFolders

07:37:36[199]:(允许)读取文件:C:\Users\leifeng\Links     访问权限:1048705

07:37:36[201]:(允许)时间操作:设置定时器(一)     时间间隔:500ms

07:37:37[202]:(允许)读取注册表键值:1508\DelegateFolders\     数据:DelegateFolders

07:37:37[203]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

07:37:37[204]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:37[209]:(允许)读取文件:C:\Users\leifeng\Desktop\File_safe     访问权限:1048705

07:37:37[212]:(允许)读取文件:C:\Users\leifeng\Desktop     访问权限:1048705

07:37:37[213]:(允许)时间操作:设置定时器(一)     时间间隔:1000ms

07:37:38[216]:(允许)读取文件:C:\Users\leifeng\Desktop\File_safe     访问权限:1048705

07:37:38[217]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries     访问权限:1048705

07:37:38[218]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\PropertySystem\FormatForDisplayHelper     数据:

07:37:38[219]:(允许)查找文件:C:\Windows\system32\*.*

07:37:38[220]:(允许)时间操作:设置定时器(一)     时间间隔:1000ms

07:37:38[221]:(允许)时间操作:设置定时器(一)     时间间隔:500ms

07:37:38[222]:(允许)时间操作:设置定时器(一)     时间间隔:200ms

07:37:38[224]:(允许)读取文件:C:\Users\leifeng\Links\Downloads.lnk     访问权限:-2147483648

07:37:38[225]:(允许)读取文件:C:\Users\leifeng\Links\Desktop.lnk     访问权限:-2147483648

07:37:38[227]:(允许)读取文件:C:\Users\leifeng\Links\RecentPlaces.lnk     访问权限:-2147483648

07:37:38[228]:(允许)读取文件:C:\     访问权限:1048705

07:37:38[229]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:38[230]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:38[231]:(允许)读取文件:C:\Users\leifeng\AppData     访问权限:1048705

07:37:38[232]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming     访问权限:1048705

07:37:38[233]:(允许)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft

07:37:38[234]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows     访问权限:1048705

07:37:38[235]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Recent\desktop.ini     访问权限:-2147483648

07:37:38[236]:(允许)读取文件:C:\Users\leifeng\Links\RecentPlaces.lnk     访问权限:-2147483648

07:37:38[237]:(允许)读取文件:C:\     访问权限:1048705

07:37:38[238]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:38[239]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:38[240]:(允许)读取文件:C:\Users\leifeng\Downloads\desktop.ini     访问权限:-2147483648

07:37:38[241]:(允许)读取文件:C:\     访问权限:1048705

07:37:38[242]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:38[243]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:38[244]:(允许)读取文件:C:\Users\leifeng\Links\Downloads.lnk     访问权限:-2147483648

07:37:38[245]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

07:37:38[246]:(允许)创建文件目录:C:\Users\leifeng

07:37:38[247]:(允许)创建文件目录:C:\Users\leifeng\AppData\Local

07:37:38[248]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer

07:37:38[249]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db     访问权限:1073741824

07:37:38[250]:(安全环境)写入文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db     访问权限:-1073741824

07:37:38[251]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db

07:37:38[252]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db

07:37:38[253]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db

07:37:38[254]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db

07:37:38[255]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db

07:37:38[256]:(阻止)删除文件:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db

07:37:38[257]:(安全环境)创建文件目录:C:\Users\leifeng\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete

07:37:39[258]:(允许)读取文件:C:\     访问权限:1048705

07:37:39[259]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:39[260]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:39[261]:(允许)读取文件:C:\Users\leifeng\AppData     访问权限:1048705

07:37:39[262]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming     访问权限:1048705

07:37:39[263]:(允许)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft

07:37:39[264]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows     访问权限:1048705

07:37:39[265]:(允许)读取文件:C:\     访问权限:1048705

07:37:39[266]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:39[267]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:39[268]:(允许)读取文件:C:\Users\leifeng\AppData     访问权限:1048705

07:37:39[269]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming     访问权限:1048705

07:37:39[270]:(允许)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft

07:37:39[271]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows     访问权限:1048705

07:37:39[272]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries     访问权限:1048705

07:37:39[273]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.library-ms\     数据:

07:37:39[274]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

07:37:39[275]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries\Music.library-ms     访问权限:-2147483648

07:37:39[276]:(允许)读取文件:C:\     访问权限:1048705

07:37:39[277]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:39[278]:(允许)读取文件:C:\Users\leifeng     访问权限:1048705

07:37:39[279]:(允许)读取文件:C:\Users\leifeng\Music\desktop.ini     访问权限:-2147483648

07:37:39[280]:(允许)读取文件:C:\     访问权限:1048705

07:37:39[281]:(允许)读取文件:C:\Users     访问权限:1048705

07:37:39[282]:(允许)读取文件:C:\Users\Public     访问权限:1048705

07:37:39[283]:(允许)读取文件:C:\Users\Public\Music\desktop.ini     访问权限:-2147483648

07:37:39[284]:(允许)读取文件:\\localhost\C$\Users\leifeng\Desktop\File_safe     访问权限:1

07:37:39[285]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:39[303]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe\ThumbCacheToDelete

07:37:39[304]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe\Caches

07:37:39[306]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe\Explorer

07:37:39[308]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe

07:37:40[312]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe\ThumbCacheToDelete

07:37:40[313]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe

07:37:40[315]:(允许)查找文件:C:\Users\leifeng\Desktop\File_safe\*.*

07:37:40[316]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe\PatchWinRAR.exe

07:37:40[318]:(安全环境)查找文件目录:C:\Users\leifeng\Desktop\File_safe

07:37:40[320]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:40[322]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries\Videos.library-ms

07:37:40[324]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries

07:37:40[326]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries\Pictures.library-ms

07:37:40[328]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries

07:37:40[330]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries\Documents.library-ms

07:37:40[332]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries

07:37:40[334]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries\Music.library-ms

07:37:40[336]:(允许)查找文件目录:C:\Users\leifeng\AppData\Roaming\Microsoft\Windows\Libraries

07:37:40[338]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:40[358]:(允许)时间操作:设置定时器(一)     时间间隔:1000ms

07:37:40[359]:(允许)访问进程:explorer.exe     进程PID:2092     进程句柄:0     获取权限:64

07:37:40[364]:(允许)读取文件:\\localhost\C$\Users\leifeng\Desktop\File_safe     访问权限:1

07:37:43[365]:(允许)时间操作:设置定时器(一)     时间间隔:100ms

07:37:45[366]:(允许)读取文件:C:\Users\leifeng\Desktop\File_safe     访问权限:1048705[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-10-31 08:56 , Processed in 0.123461 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表