收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 公司局域网内的恶意推广软件 伪装腾讯更新程序txupd.exe
1234
返回列表 发新帖
楼主: ctrcrc
 收起左侧

[病毒样本] 公司局域网内的恶意推广软件 伪装腾讯更新程序txupd.exe

[复制链接]
ctrcrc
 楼主| 发表于 2017-12-26 10:29:45 | 显示全部楼层
这个文件还真的是QQ安装文件夹下腾讯签名的那个txupd.exe创建的
哪位朋友可以下载官网的QQ8.9.6安装看看,在我们公司局域网安装QQ不一会就会弹出txupd的UAC,放行后就会在AppData\Roaming\Tencent\QQ\AuTemp\1140547633(随机数)\NewUpd\下创建PPlive的这个txupd.exe,然后安装PPLive
本人水平有限,实在搞不明白
回复

举报

JAYSIR
发表于 2017-12-30 14:37:01 | 显示全部楼层
ctrcrc 发表于 2017-12-26 10:29
这个文件还真的是QQ安装文件夹下腾讯签名的那个txupd.exe创建的
哪位朋友可以下载官网的QQ8.9 ...

火绒出报告了,不装qq或qq入沙
回复

举报

adaxcz
发表于 2018-1-1 16:25:03 | 显示全部楼层
整个局联网都会感染吗?
回复

举报

左手
发表于 2018-1-1 16:37:27 | 显示全部楼层
  1. 2018-1-1 16:29:12    创建文件 风险提示:低风险    允许
  2. 进程: c:\documents and settings\administrator\桌面\txupd.exe
  3. 目标: C:\Documents and Settings\Administrator\Local Settings\Temp\PPTV(pplive)_forap_1084_9993.exe
  4. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的文件>a100 -> [文件]*\temp\*

  6. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  7. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  8. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
  9. 值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
  10. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  12. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  13. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  14. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
  15. 值: C:\Documents and Settings\Administrator\Cookies
  16. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  18. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  19. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  20. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
  21. 值: C:\Documents and Settings\Administrator\Local Settings\History
  22. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  24. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  25. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  26. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
  27. 值: C:\Documents and Settings\All Users\Application Data
  28. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  30. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  31. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  32. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
  33. 值: C:\Documents and Settings\Administrator\Application Data
  34. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  36. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  37. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  38. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
  39. 值: 0x00000000(0)
  40. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  42. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  43. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  44. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
  45. 值: 150.176.182.31;80:80
  46. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  48. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  49. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  50. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
  51. 值: *.local
  52. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  54. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  55. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  56. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
  57. 值: 0x00000000(0)
  58. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  60. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  61. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  62. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
  63. 值: 150.176.182.31;80:80
  64. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  66. 2018-1-1 16:29:13    修改注册表值 风险提示:敏感    阻止
  67. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  68. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
  69. 值: *.local
  70. 规则: [应用程序]?:\*\*\*\*\* -> [注册表组]阻止_优先黑名单

  72. 2018-1-1 16:29:18    加载动态链接库 风险提示:中风险    允许
  73. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  74. 目标: c:\windows\system32\dnsapi.dll
  75. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  77. 2018-1-1 16:29:21    访问网络 风险提示:未知    允许
  78. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  79. 目标: TCP [本机 : 1220] ->  [61.131.55.90 : 80 (http)]
  80. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  82. 2018-1-1 16:29:21    修改注册表值 风险提示:敏感    阻止
  83. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  84. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData
  85. 值: C:\Documents and Settings\Administrator\Local Settings\Application Data
  86. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

  88. 2018-1-1 16:29:21    修改注册表值 风险提示:敏感    阻止
  89. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  90. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
  91. 值: C:\Documents and Settings\Administrator\Application Data
  92. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

  94. 2018-1-1 16:29:39    创建文件夹 风险提示:低风险    允许
  95. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  96. 目标: C:\Program Files\Internet Explorer\PPLite
  97. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]c:\program files\internet explorer

  99. 2018-1-1 16:29:44    创建文件 风险提示:低风险    允许
  100. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  101. 目标: C:\Program Files\Internet Explorer\PPLite\plugin\1.0.1.1058\pplugin2.dll
  102. 规则: [文件组]《坚固》f216_系统文件夹 -> [文件]c:\program files\internet explorer\*

  104. 2018-1-1 16:29:49    创建文件 风险提示:低风险    允许
  105. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  106. 目标: C:\Program Files\Internet Explorer\PPLite\plugin\version.dat
  107. 规则: [文件组]《坚固》f216_系统文件夹 -> [文件]c:\program files\internet explorer\*

  109. 2018-1-1 16:29:49    创建新进程 风险提示:未知    阻止
  110. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  111. 目标: c:\windows\system32\regsvr32.exe
  112. 命令行: regsvr32 /s "C:\Program Files\Internet Explorer\PPLite\plugin\1.0.1.1058\pplugin2.dll"
  113. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]c:\windows\system32\regsvr32.exe

  115. 2018-1-1 16:29:50    修改文件权限 风险提示:敏感    阻止
  116. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  117. 目标: C:\Program Files\Common Files\PPLiveNetwork\InstallLog.txt
  118. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]*; *.txt

  120. 2018-1-1 16:29:50    修改文件夹权限 风险提示:敏感    阻止
  121. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  122. 目标: C:\Program Files\Common Files\PPLiveNetwork
  123. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  125. 2018-1-1 16:30:00    创建文件 风险提示:低风险    允许
  126. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  127. 目标: C:\Program Files\Common Files\PPLiveNetwork\Converter.exe
  128. 规则: [文件组]《安装询问》f252_ProgramFiles -> [文件]?:\program files\*\*

  130. 2018-1-1 16:30:00    修改文件夹权限 风险提示:敏感    阻止
  131. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  132. 目标: C:\Program Files\Common Files\PPLiveNetwork\1.0.1.1058
  133. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  135. 2018-1-1 16:30:01    修改文件权限 风险提示:敏感    阻止
  136. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  137. 目标: C:\Program Files\PPLive\PPTV\InstallLog.txt
  138. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]*; *.txt

  140. 2018-1-1 16:30:01    修改文件夹权限 风险提示:敏感    阻止
  141. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  142. 目标: C:\Program Files\PPLive\PPTV
  143. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  145. 2018-1-1 16:30:01    修改文件夹权限 风险提示:敏感    阻止
  146. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  147. 目标: C:\Program Files\PPLive\PPTV\3.1.5.0065
  148. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  150. 2018-1-1 16:30:07    创建文件 风险提示:低风险    允许
  151. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  152. 目标: C:\Program Files\PPLive\PPTV\3.1.5.0065\ppliverepair.exe
  153. 规则: [文件组]《安装询问》f252_ProgramFiles -> [文件]?:\program files\*\*

  155. 2018-1-1 16:30:17    创建文件 风险提示:低风险    允许
  156. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  157. 目标: C:\Program Files\PPLive\PPTV\msvcp100.dll
  158. 规则: [文件组]《安装询问》f252_ProgramFiles -> [文件]?:\program files\*\*

  160. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  161. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  162. 目标: C:\Documents and Settings\All Users\Application Data\PPLive
  163. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  165. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  166. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  167. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV
  168. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  170. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  171. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  172. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Cache
  173. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  175. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  176. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  177. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Cache\list
  178. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  180. 2018-1-1 16:30:17    修改文件权限 风险提示:敏感    阻止
  181. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  182. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Cache\list\catalog-1-0.xml
  183. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]c:\documents and settings\all users\*

  185. 2018-1-1 16:30:17    修改文件夹权限 风险提示:敏感    阻止
  186. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  187. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Cache\list
  188. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  190. 2018-1-1 16:30:17    修改文件夹权限 风险提示:敏感    阻止
  191. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  192. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Cache
  193. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  195. 2018-1-1 16:30:17    修改文件夹权限 风险提示:敏感    阻止
  196. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  197. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV
  198. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  200. 2018-1-1 16:30:17    修改文件夹权限 风险提示:敏感    阻止
  201. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  202. 目标: C:\Documents and Settings\All Users\Application Data\PPLive
  203. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  205. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  206. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  207. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Favorites
  208. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  210. 2018-1-1 16:30:17    修改文件夹权限 风险提示:敏感    阻止
  211. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  212. 目标: C:\Documents and Settings\All Users\Application Data\PPLive\PPTV\Favorites
  213. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  215. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  216. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  217. 目标: C:\Documents and Settings\Administrator\Application Data\PPLive
  218. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  220. 2018-1-1 16:30:17    修改文件夹权限 风险提示:敏感    阻止
  221. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  222. 目标: C:\Documents and Settings\Administrator\Application Data\PPLive
  223. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  225. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  226. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  227. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data
  228. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  230. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  231. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  232. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data\PPLive
  233. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  235. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  236. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  237. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data\PPLive\PPTV
  238. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  240. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  241. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  242. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data\PPLive\PPTV\cache
  243. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  245. 2018-1-1 16:30:17    创建文件夹 风险提示:低风险    允许
  246. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  247. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data\PPLive\PPTV\cache\pluginad
  248. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\documents and settings\*\application data\*

  250. 2018-1-1 16:30:18    修改文件夹权限 风险提示:敏感    阻止
  251. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  252. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data\PPLive\PPTV\cache\pluginad
  253. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  255. 2018-1-1 16:30:18    创建文件 风险提示:低风险    允许
  256. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  257. 目标: C:\Documents and Settings\Administrator\Application Data\Application Data\PPLive\PPTV\cache\pluginad\AdConfig.ini
  258. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的文件>a100 -> [文件]*; *.ini

  260. 2018-1-1 16:30:23    创建新进程 风险提示:未知    允许
  261. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  262. 目标: c:\program files\pplive\pptv\3.1.5.0065\skinconverter.exe
  263. 命令行: "C:\Program Files\PPLive\PPTV\3.1.5.0065\SkinConverter.exe"
  264. 规则: [应用程序]* -> [子应用程序]?:\program files\*

  266. 2018-1-1 16:30:28    创建文件 风险提示:低风险    允许
  267. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  268. 目标: C:\WINDOWS\system32\PPTVLauncher.exe
  269. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]{③安全级别:中}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.exe

  271. 2018-1-1 16:30:31    创建文件 风险提示:低风险    允许
  272. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  273. 目标: C:\WINDOWS\system32\PPTVSvc.dll
  274. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]{③安全级别:中}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.dll

  276. 2018-1-1 16:30:38    创建新进程 风险提示:未知    允许
  277. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  278. 目标: c:\windows\system32\rundll32.exe
  279. 命令行: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\PPTVSvc.dll" RundllCmd -i
  280. 规则: [应用程序]??\?* -> [子应用程序]c:\windows\system32\rundll32.exe

  282. 2018-1-1 16:30:38    修改注册表值 风险提示:敏感    阻止
  283. 进程: c:\windows\system32\rundll32.exe
  284. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\PPTVServiceGroup
  285. 值: PPTVService
  286. 规则: [应用程序组]→a070_SystemRoot《系统程序》 -> [注册表组]《终止》_高度危险项_最多可改它为仅《阻止》

  288. 2018-1-1 16:30:49    创建文件夹 风险提示:低风险    允许
  289. 进程: c:\windows\system32\rundll32.exe
  290. 目标: C:\Documents and Settings\Administrator\Application Data\PPLive\PPTV
  291. 规则: [应用程序组]→a070_SystemRoot《系统程序》 -> [应用程序]c:\windows\system32\rundll32.exe -> [文件组]《写入》f080_程序appdata

  293. 2018-1-1 16:30:53    创建文件 风险提示:低风险    允许
  294. 进程: c:\windows\system32\rundll32.exe
  295. 目标: C:\Documents and Settings\Administrator\Application Data\PPLive\PPTV\PPTVLog.log
  296. 规则: [应用程序组]→a070_SystemRoot《系统程序》 -> [应用程序]c:\windows\system32\rundll32.exe -> [文件组]《写入》f080_程序appdata

  298. 2018-1-1 16:30:56    创建新进程 风险提示:未知    允许
  299. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  300. 目标: c:\windows\system32\rundll32.exe
  301. 命令行: "C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\PPTVSvc.dll" RundllCmd -start
  302. 规则: [应用程序]??\?* -> [子应用程序]c:\windows\system32\rundll32.exe

  304. 2018-1-1 16:31:01    创建文件 风险提示:低风险    允许
  305. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  306. 目标: C:\WINDOWS\system32\kindling.dll
  307. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]{③安全级别:中}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.dll

  309. 2018-1-1 16:31:01    创建新进程 风险提示:未知    阻止
  310. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  311. 目标: c:\windows\system32\regsvr32.exe
  312. 命令行: "C:\WINDOWS\system32\regsvr32.exe" /s C:\WINDOWS\system32\kindling.dll
  313. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]c:\windows\system32\regsvr32.exe

  315. 2018-1-1 16:31:07    创建注册表项 风险提示:未知    阻止
  316. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  317. 目标: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\BlueShield
  318. 规则: [注册表组]r666_系统设置 -> [注册表]*\SOFTWARE\Microsoft\security center\*

  320. 2018-1-1 16:31:07    创建注册表项 风险提示:未知    阻止
  321. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  322. 目标: HKEY_CURRENT_USER\Software\Microsoft\Security Center\BlueShield
  323. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe -> [注册表]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center; BlueShield

  325. 2018-1-1 16:31:07    修改注册表值 风险提示:敏感    阻止
  326. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  327. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
  328. 值: C:\Documents and Settings\All Users\Documents
  329. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

  331. 2018-1-1 16:31:07    修改注册表值 风险提示:敏感    阻止
  332. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  333. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
  334. 值: C:\Documents and Settings\Administrator\My Documents
  335. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

  337. 2018-1-1 16:31:07    创建文件 风险提示:低风险    允许
  338. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  339. 目标: C:\Documents and Settings\Administrator\My Documents\PPTV\PP收藏夹\desktop.ini
  340. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的文件>a100 -> [文件]*; desktop.ini

  342. 2018-1-1 16:31:07    创建文件 风险提示:低风险    允许
  343. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  344. 目标: C:\Documents and Settings\Administrator\My Documents\PPTV\PP播放记录\desktop.ini
  345. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的文件>a100 -> [文件]*; desktop.ini

  347. 2018-1-1 16:31:07    创建文件 风险提示:低风险    允许
  348. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  349. 目标: C:\Documents and Settings\Administrator\My Documents\PPTV\PP年度必看\desktop.ini
  350. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的文件>a100 -> [文件]*; desktop.ini

  352. 2018-1-1 16:31:07    修改注册表值 风险提示:敏感    阻止
  353. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  354. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
  355. 值: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
  356. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

  358. 2018-1-1 16:31:07    修改文件权限 风险提示:敏感    阻止并结束进程
  359. 进程: c:\documents and settings\administrator\local settings\temp\pptv(pplive)_forap_1084_9993.exe
  360. 目标: C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop.ini
  361. 规则: [应用程序]?* -> [文件]?:\documents and settings\*\程序\启动\*

复制代码
回复

举报

1234
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-26 21:22 , Processed in 0.094561 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表