楼主: 租车司机
收起左侧

[病毒样本] 白加黑超级远控木马

  [复制链接]
zay365
头像被屏蔽
发表于 2020-1-28 23:36:03 | 显示全部楼层
lifan88 发表于 2020-1-28 13:05
事实证明什么急救箱也是不行的,被针对你也看不出来,最基本的针对就是让你看不出中毒就行了,某rootkit ...

在360论坛里看到了有用户中了那个后的求助帖
https://bbs.360.cn/thread-15832909-1-1.html
他还说查出了个360数字签名的文件,难道这病毒的最新版还有白利用?
lifan88
发表于 2020-1-28 23:50:50 | 显示全部楼层
本帖最后由 lifan88 于 2020-1-28 23:52 编辑
zay365 发表于 2020-1-28 23:36
在360论坛里看到了有用户中了那个后的求助帖
https://bbs.360.cn/thread-15832909-1-1.html
他还说查出 ...

不是这个。。。这个应该只是被感染。。。360被白利用那可太惨了,一般不可能的,看到winaudio你应该要想起一些事情
温馨小屋
头像被屏蔽
发表于 2020-1-29 11:36:38 | 显示全部楼层
1606692179 发表于 2020-1-28 20:42
大佬,这玩意会不会穿透虚拟机。。。。。。。???我有点慌

唯一可能的传播途径就是利用虚拟机的NAT网络攻击实机,实机开了防火墙一般就没事了,虚拟机很难穿透的
yjwfdc
头像被屏蔽
发表于 2020-1-29 13:34:26 | 显示全部楼层
没人用md试试吗?@左手



评分

参与人数 1人气 +3 收起 理由
左手 + 3 很给力!

查看全部评分

左手
发表于 2020-1-29 14:15:16 | 显示全部楼层
本帖最后由 左手 于 2020-1-29 14:17 编辑
yjwfdc 发表于 2020-1-29 13:34
没人用md试试吗?@左手
  1. 2020/1/29 星期三 14:06:30    创建新进程 风险提示:未知    允许
  2. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  3. 目标: c:\windows\system32\rundll32.exe
  4. 命令行: rundll32.exe C:\Windows\System32\shimgvw.dll,ImageView_Fullscreen C:\Users\Administrator\Desktop\最新价格图\N.png
  5. 规则: [应用程序]??\?* -> [子应用程序]c:\windows\system32\rundll32.exe

  6. 2020/1/29 星期三 14:06:35    创建文件夹 风险提示:低风险    允许
  7. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  8. 目标: C:\ProgramData\7457237
  9. 规则: [应用程序]?:\*\*\*\*\* -> [文件]c:\programdata\*

  10. 2020/1/29 星期三 14:06:38    修改文件 风险提示:木马    允许
  11. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  12. 目标: C:\ProgramData\7457237\sysimgbase.dll
  13. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]c:\programdata\*

  14. 2020/1/29 星期三 14:06:41    创建新进程 风险提示:未知    允许
  15. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  16. 目标: c:\programdata\7457237\adminservice.exe
  17. 命令行: "C:\ProgramData\7457237\AdminService.exe" -run
  18. 规则: [应用程序]* -> [子应用程序]*.exe

  19. 2020/1/29 星期三 14:06:41    加载动态链接库 风险提示:中等程度风险    允许
  20. 进程: c:\programdata\7457237\adminservice.exe
  21. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  22. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  23. 2020/1/29 星期三 14:06:41    加载动态链接库 风险提示:中等程度风险    允许
  24. 进程: c:\programdata\7457237\adminservice.exe
  25. 目标: c:\programdata\7457237\sysimgbase.dll
  26. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  27. 2020/1/29 星期三 14:06:47    创建文件 风险提示:低风险    允许
  28. 进程: c:\programdata\7457237\adminservice.exe
  29. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  30. 规则: [文件组]《询问》f245_Documents and Settings -> [文件]c:\users\*\appdata\roaming; *.exe

  31. 2020/1/29 星期三 14:06:57    修改注册表值 风险提示:木马    阻止
  32. 进程: c:\programdata\7457237\adminservice.exe
  33. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  34. 值: 0x30307830(808482864)
  35. 规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  36. 2020/1/29 星期三 14:06:57    创建新进程 风险提示:未知    允许
  37. 进程: c:\programdata\7457237\adminservice.exe
  38. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  39. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  40. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  41. 2020/1/29 星期三 14:07:00    访问网络 风险提示:未知    允许
  42. 进程: c:\programdata\7457237\adminservice.exe
  43. 目标: UDP [本机 : 49499] ->  [119.29.29.29 : 53 (domain)]
  44. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  45. 2020/1/29 星期三 14:07:04    创建新进程 风险提示:未知    允许
  46. 进程: c:\programdata\7457237\adminservice.exe
  47. 目标: c:\programdata\7457237\adminservice.exe
  48. 命令行: "C:\ProgramData\7457237\AdminService.exe" -Protect
  49. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  50. 2020/1/29 星期三 14:07:04    修改注册表值 风险提示:木马    阻止
  51. 进程: c:\programdata\7457237\adminservice.exe
  52. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  53. 值: 0x30307830(808482864)
  54. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  55. 2020/1/29 星期三 14:07:04    修改注册表值 风险提示:木马    阻止
  56. 进程: c:\programdata\7457237\adminservice.exe
  57. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  58. 值: 0x30307830(808482864)
  59. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  60. 2020/1/29 星期三 14:07:04    加载动态链接库 风险提示:中等程度风险    允许
  61. 进程: c:\programdata\7457237\adminservice.exe
  62. 目标: c:\windows\system32\dnsapi.dll
  63. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  64. 2020/1/29 星期三 14:07:04    创建文件 风险提示:低风险    允许
  65. 进程: c:\programdata\7457237\adminservice.exe
  66. 目标: C:\Users\Administrator\AppData\Roaming\Config.ini
  67. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.ini

  68. 2020/1/29 星期三 14:07:05    加载动态链接库 风险提示:中等程度风险    允许
  69. 进程: c:\programdata\7457237\adminservice.exe
  70. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  71. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  72. 2020/1/29 星期三 14:07:05    加载动态链接库 风险提示:中等程度风险    允许
  73. 进程: c:\programdata\7457237\adminservice.exe
  74. 目标: c:\programdata\7457237\sysimgbase.dll
  75. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  76. 2020/1/29 星期三 14:07:20    删除文件 风险提示:木马    阻止
  77. 进程: c:\programdata\7457237\adminservice.exe
  78. 目标: C:\$360Section\360.0ECBA6E008857EC7AD53C1547F2F192F.q3q
  79. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  80. 2020/1/29 星期三 14:07:20    删除文件 风险提示:木马    阻止
  81. 进程: c:\programdata\7457237\adminservice.exe
  82. 目标: C:\$360Section\360.43F768CF54BC2E6916D62B6EAA8B0609.q3q
  83. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  84. 2020/1/29 星期三 14:07:20    删除文件 风险提示:木马    阻止
  85. 进程: c:\programdata\7457237\adminservice.exe
  86. 目标: C:\$360Section\360.5CC7A6C7A4FD51456D4745C8B1012BC4.q3q
  87. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  88. 2020/1/29 星期三 14:07:20    删除文件 风险提示:木马    阻止
  89. 进程: c:\programdata\7457237\adminservice.exe
  90. 目标: C:\$360Section\360.7F9783F4D03D91DFF3F872C859FCF970.q3q
  91. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  92. 2020/1/29 星期三 14:07:20    删除文件 风险提示:木马    阻止
  93. 进程: c:\programdata\7457237\adminservice.exe
  94. 目标: C:\$360Section\360.DADEE5BF2AFB739D054335172D1DB2B7.q3q
  95. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  96. 2020/1/29 星期三 14:07:20    删除文件 风险提示:木马    阻止
  97. 进程: c:\programdata\7457237\adminservice.exe
  98. 目标: C:\$360Section\360.FAC3E815E11695C6D5657BF335101702.q3q
  99. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  100. 2020/1/29 星期三 14:07:32    删除文件 风险提示:木马    阻止
  101. 进程: c:\programdata\7457237\adminservice.exe
  102. 目标: C:\$360Section\EZFYSL-MANUAL.txt
  103. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  104. 2020/1/29 星期三 14:07:32    创建文件 风险提示:低风险    允许
  105. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  106. 目标: C:\Users\Administrator\Desktop\2020-01-29_140730.jpg
  107. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  108. 2020/1/29 星期三 14:07:32    删除文件 风险提示:木马    阻止
  109. 进程: c:\programdata\7457237\adminservice.exe
  110. 目标: C:\$360Section\EZFYSL-MANUAL.txt
  111. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\$360section; ezfysl-manual.txt

  112. 2020/1/29 星期三 14:07:35    删除文件 风险提示:木马    阻止
  113. 进程: c:\programdata\7457237\adminservice.exe
  114. 目标: C:\$360Section\PMRXK-DECRYPT.txt
  115. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  116. 2020/1/29 星期三 14:07:35    删除文件 风险提示:木马    阻止
  117. 进程: c:\programdata\7457237\adminservice.exe
  118. 目标: C:\$360Section\PMRXK-DECRYPT.txt
  119. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\$360section\*

  120. 2020/1/29 星期三 14:07:35    删除文件 风险提示:木马    阻止
  121. 进程: c:\programdata\7457237\adminservice.exe
  122. 目标: C:\$360Section\RPSZFYKY-MANUAL.txt
  123. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\$360section\*

  124. 2020/1/29 星期三 14:07:35    删除文件 风险提示:木马    阻止
  125. 进程: c:\programdata\7457237\adminservice.exe
  126. 目标: C:\$360Section\VAJQP-MANUAL.txt
  127. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\$360section\*

  128. 2020/1/29 星期三 14:07:38    删除文件夹 风险提示:木马    阻止
  129. 进程: c:\programdata\7457237\adminservice.exe
  130. 目标: C:\$360Section
  131. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  132. 2020/1/29 星期三 14:07:45    删除文件 风险提示:木马    阻止
  133. 进程: c:\programdata\7457237\adminservice.exe
  134. 目标: C:\$loading\Word\EngineDP.bat
  135. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat

  136. 2020/1/29 星期三 14:07:45    创建文件 风险提示:低风险    允许
  137. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  138. 目标: C:\Users\Administrator\Desktop\2020-01-29_140742.jpg
  139. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  140. 2020/1/29 星期三 14:07:45    删除文件 风险提示:木马    阻止
  141. 进程: c:\programdata\7457237\adminservice.exe
  142. 目标: C:\$loading\Word\EngineDP.bat
  143. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\$loading\word\*

  144. 2020/1/29 星期三 14:07:48    删除文件夹 风险提示:木马    阻止
  145. 进程: c:\programdata\7457237\adminservice.exe
  146. 目标: C:\$loading\Word
  147. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  148. 2020/1/29 星期三 14:07:51    删除文件夹 风险提示:木马    阻止
  149. 进程: c:\programdata\7457237\adminservice.exe
  150. 目标: C:\$loading
  151. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  152. 2020/1/29 星期三 14:07:51    读文件 风险提示:低风险    阻止
  153. 进程: c:\programdata\7457237\adminservice.exe
  154. 目标: C:\$Recycle.Bin\EZFYSL-MANUAL.txt
  155. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  156. 2020/1/29 星期三 14:07:51    读文件 风险提示:低风险    阻止
  157. 进程: c:\programdata\7457237\adminservice.exe
  158. 目标: C:\$Recycle.Bin\RPSZFYKY-MANUAL.txt
  159. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  160. 2020/1/29 星期三 14:07:51    读文件夹 风险提示:低风险    阻止
  161. 进程: c:\programdata\7457237\adminservice.exe
  162. 目标: C:\$Recycle.Bin\S-1-5-18
  163. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  164. 2020/1/29 星期三 14:07:51    读文件夹 风险提示:低风险    阻止
  165. 进程: c:\programdata\7457237\adminservice.exe
  166. 目标: C:\$Recycle.Bin\S-1-5-21-719447134-2114279163-1642779816-500
  167. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  168. 2020/1/29 星期三 14:07:51    读文件 风险提示:低风险    阻止
  169. 进程: c:\programdata\7457237\adminservice.exe
  170. 目标: C:\$Recycle.Bin\VAJQP-MANUAL.txt
  171. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  172. 2020/1/29 星期三 14:07:57    删除文件夹 风险提示:木马    阻止
  173. 进程: c:\programdata\7457237\adminservice.exe
  174. 目标: C:\$Recycle.Bin
  175. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  176. 2020/1/29 星期三 14:07:57    创建文件 风险提示:低风险    允许
  177. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  178. 目标: C:\Users\Administrator\Desktop\2020-01-29_140755.jpg
  179. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  180. 2020/1/29 星期三 14:08:00    删除文件 风险提示:木马    阻止
  181. 进程: c:\programdata\7457237\adminservice.exe
  182. 目标: C:\360.ico
  183. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.ico

  184. 2020/1/29 星期三 14:08:00    删除文件 风险提示:木马    阻止
  185. 进程: c:\programdata\7457237\adminservice.exe
  186. 目标: C:\360.ico
  187. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\; 360.ico

  188. 2020/1/29 星期三 14:08:00    删除文件 风险提示:木马    阻止
  189. 进程: c:\programdata\7457237\adminservice.exe
  190. 目标: C:\360Rec\20180515\1247A4E.vir
  191. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  192. 2020/1/29 星期三 14:08:00    删除文件 风险提示:木马    阻止
  193. 进程: c:\programdata\7457237\adminservice.exe
  194. 目标: C:\360Rec\20180515\215C551.vir
  195. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  196. 2020/1/29 星期三 14:08:07    删除文件 风险提示:木马    阻止
  197. 进程: c:\programdata\7457237\adminservice.exe
  198. 目标: C:\360Rec\20180515\EZFYSL-MANUAL.txt
  199. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  200. 2020/1/29 星期三 14:08:07    创建文件 风险提示:低风险    允许
  201. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  202. 目标: C:\Users\Administrator\Desktop\2020-01-29_140806.jpg
  203. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  204. 2020/1/29 星期三 14:08:07    删除文件 风险提示:木马    阻止
  205. 进程: c:\programdata\7457237\adminservice.exe
  206. 目标: C:\360Rec\20180515\EZFYSL-MANUAL.txt
  207. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\20180515\*

  208. 2020/1/29 星期三 14:08:07    删除文件 风险提示:木马    阻止
  209. 进程: c:\programdata\7457237\adminservice.exe
  210. 目标: C:\360Rec\20180515\PMRXK-DECRYPT.txt.vajqp
  211. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\20180515\*

  212. 2020/1/29 星期三 14:08:07    删除文件 风险提示:木马    阻止
  213. 进程: c:\programdata\7457237\adminservice.exe
  214. 目标: C:\360Rec\20180515\RPSZFYKY-MANUAL.txt
  215. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\20180515\*

  216. 2020/1/29 星期三 14:08:07    删除文件 风险提示:木马    阻止
  217. 进程: c:\programdata\7457237\adminservice.exe
  218. 目标: C:\360Rec\20180515\VAJQP-MANUAL.txt
  219. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\20180515\*

  220. 2020/1/29 星期三 14:08:10    删除文件夹 风险提示:木马    阻止
  221. 进程: c:\programdata\7457237\adminservice.exe
  222. 目标: C:\360Rec\20180515
  223. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  224. 2020/1/29 星期三 14:08:15    删除文件 风险提示:木马    阻止
  225. 进程: c:\programdata\7457237\adminservice.exe
  226. 目标: C:\360Rec\EZFYSL-MANUAL.txt
  227. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  228. 2020/1/29 星期三 14:08:15    删除文件 风险提示:木马    阻止
  229. 进程: c:\programdata\7457237\adminservice.exe
  230. 目标: C:\360Rec\EZFYSL-MANUAL.txt
  231. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\*

  232. 2020/1/29 星期三 14:08:15    删除文件 风险提示:木马    阻止
  233. 进程: c:\programdata\7457237\adminservice.exe
  234. 目标: C:\360Rec\PMRXK-DECRYPT.txt.vajqp
  235. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\*

  236. 2020/1/29 星期三 14:08:15    删除文件 风险提示:木马    阻止
  237. 进程: c:\programdata\7457237\adminservice.exe
  238. 目标: C:\360Rec\RPSZFYKY-MANUAL.txt
  239. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\*

  240. 2020/1/29 星期三 14:08:15    删除文件 风险提示:木马    阻止
  241. 进程: c:\programdata\7457237\adminservice.exe
  242. 目标: C:\360Rec\VAJQP-MANUAL.txt
  243. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360rec\*

  244. 2020/1/29 星期三 14:08:17    删除文件夹 风险提示:木马    阻止
  245. 进程: c:\programdata\7457237\adminservice.exe
  246. 目标: C:\360Rec
  247. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  248. 2020/1/29 星期三 14:08:17    删除文件 风险提示:木马    阻止
  249. 进程: c:\programdata\7457237\adminservice.exe
  250. 目标: C:\360SANDBOX\360SandBox.sav
  251. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  252. 2020/1/29 星期三 14:08:17    删除文件 风险提示:木马    允许
  253. 进程: c:\programdata\7457237\adminservice.exe
  254. 目标: C:\360SANDBOX\360SandBox.sav.LOG1
  255. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.log1

  256. 2020/1/29 星期三 14:08:17    删除文件 风险提示:木马    阻止
  257. 进程: c:\programdata\7457237\adminservice.exe
  258. 目标: C:\360SANDBOX\360SandBox.sav.LOG2
  259. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  260. 2020/1/29 星期三 14:08:17    删除文件 风险提示:木马    阻止
  261. 进程: c:\programdata\7457237\adminservice.exe
  262. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TM.blf
  263. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  264. 2020/1/29 星期三 14:08:17    删除文件 风险提示:木马    阻止
  265. 进程: c:\programdata\7457237\adminservice.exe
  266. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TMContainer00000000000000000001.regtrans-ms
  267. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  268. 2020/1/29 星期三 14:08:17    删除文件 风险提示:木马    阻止
  269. 进程: c:\programdata\7457237\adminservice.exe
  270. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TMContainer00000000000000000002.regtrans-ms
  271. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  272. 2020/1/29 星期三 14:08:20    删除文件 风险提示:木马    阻止
  273. 进程: c:\programdata\7457237\adminservice.exe
  274. 目标: C:\360SANDBOX\EZFYSL-MANUAL.txt
  275. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  276. 2020/1/29 星期三 14:08:20    删除文件 风险提示:木马    阻止
  277. 进程: c:\programdata\7457237\adminservice.exe
  278. 目标: C:\360SANDBOX\EZFYSL-MANUAL.txt
  279. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360sandbox\*

  280. 2020/1/29 星期三 14:08:20    删除文件 风险提示:木马    阻止
  281. 进程: c:\programdata\7457237\adminservice.exe
  282. 目标: C:\360SANDBOX\PMRXK-DECRYPT.txt
  283. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360sandbox\*

  284. 2020/1/29 星期三 14:08:20    删除文件 风险提示:木马    阻止
  285. 进程: c:\programdata\7457237\adminservice.exe
  286. 目标: C:\360SANDBOX\RPSZFYKY-MANUAL.txt
  287. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360sandbox\*

  288. 2020/1/29 星期三 14:08:20    删除文件 风险提示:木马    阻止
  289. 进程: c:\programdata\7457237\adminservice.exe
  290. 目标: C:\360SANDBOX\VAJQP-MANUAL.txt
  291. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\360sandbox\*

  292. 2020/1/29 星期三 14:08:22    删除文件夹 风险提示:木马    阻止
  293. 进程: c:\programdata\7457237\adminservice.exe
  294. 目标: C:\360SANDBOX
  295. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  296. 2020/1/29 星期三 14:08:27    删除文件夹 风险提示:木马    阻止
  297. 进程: c:\programdata\7457237\adminservice.exe
  298. 目标: C:\360安全浏览器下载
  299. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  300. 2020/1/29 星期三 14:08:27    创建文件 风险提示:低风险    允许
  301. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  302. 目标: C:\Users\Administrator\Desktop\2020-01-29_140826.jpg
  303. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  304. 2020/1/29 星期三 14:08:30    删除文件夹 风险提示:木马    阻止
  305. 进程: c:\programdata\7457237\adminservice.exe
  306. 目标: C:\360驱动大师目录\下载保存目录\SeachDownload
  307. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  308. 2020/1/29 星期三 14:08:33    删除文件夹 风险提示:木马    阻止
  309. 进程: c:\programdata\7457237\adminservice.exe
  310. 目标: C:\360驱动大师目录\下载保存目录
  311. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  312. 2020/1/29 星期三 14:08:35    删除文件夹 风险提示:木马    阻止
  313. 进程: c:\programdata\7457237\adminservice.exe
  314. 目标: C:\360驱动大师目录
  315. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  316. 2020/1/29 星期三 14:08:38    删除文件夹 风险提示:木马    阻止
  317. 进程: c:\programdata\7457237\adminservice.exe
  318. 目标: C:\545f23c002206df186bc8618158deb55\hls
  319. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  320. 2020/1/29 星期三 14:08:41    删除文件 风险提示:木马    阻止
  321. 进程: c:\programdata\7457237\adminservice.exe
  322. 目标: C:\545f23c002206df186bc8618158deb55\目录说明.txt
  323. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  324. 2020/1/29 星期三 14:08:41    删除文件 风险提示:木马    阻止
  325. 进程: c:\programdata\7457237\adminservice.exe
  326. 目标: C:\545f23c002206df186bc8618158deb55\目录说明.txt
  327. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [文件]c:\545f23c002206df186bc8618158deb55\*

  328. 2020/1/29 星期三 14:08:44    删除文件夹 风险提示:木马    阻止并结束进程
  329. 进程: c:\programdata\7457237\adminservice.exe
  330. 目标: C:\545f23c002206df186bc8618158deb55
  331. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  332. 2020/1/29 星期三 14:08:44    加载动态链接库 风险提示:中等程度风险    允许
  333. 进程: c:\programdata\7457237\adminservice.exe
  334. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  335. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  336. 2020/1/29 星期三 14:08:44    加载动态链接库 风险提示:中等程度风险    允许
  337. 进程: c:\programdata\7457237\adminservice.exe
  338. 目标: c:\programdata\7457237\sysimgbase.dll
  339. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  340. 2020/1/29 星期三 14:09:03    修改文件 风险提示:木马    阻止
  341. 进程: c:\programdata\7457237\adminservice.exe
  342. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  343. 规则: [文件组]《询问》f245_Documents and Settings -> [文件]c:\users\*\appdata\roaming; *.exe

  344. 2020/1/29 星期三 14:09:07    修改注册表值 风险提示:木马    阻止并结束进程
  345. 进程: c:\programdata\7457237\adminservice.exe
  346. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  347. 值: 0x30307830(808482864)
  348. 规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  349. 2020/1/29 星期三 14:09:07    创建文件 风险提示:低风险    允许
  350. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  351. 目标: C:\Users\Administrator\Desktop\2020-01-29_140851.jpg
  352. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  353. 2020/1/29 星期三 14:09:12    创建新进程 风险提示:未知    允许
  354. 进程: c:\programdata\7457237\adminservice.exe
  355. 目标: c:\programdata\7457237\adminservice.exe
  356. 命令行: "C:\ProgramData\7457237\AdminService.exe" -run
  357. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  358. 2020/1/29 星期三 14:09:12    修改文件 风险提示:木马    阻止
  359. 进程: c:\programdata\7457237\adminservice.exe
  360. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  361. 规则:

  362. 2020/1/29 星期三 14:09:12    创建新进程 风险提示:未知    允许
  363. 进程: c:\programdata\7457237\adminservice.exe
  364. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  365. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  366. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  367. 2020/1/29 星期三 14:09:18    访问网络 风险提示:未知    阻止
  368. 进程: c:\programdata\7457237\adminservice.exe
  369. 目标: UDP [本机 : 53638] ->  [114.114.114.114 : 53 (domain)]
  370. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  371. 2020/1/29 星期三 14:09:18    加载动态链接库 风险提示:中等程度风险    允许
  372. 进程: c:\programdata\7457237\adminservice.exe
  373. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  374. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  375. 2020/1/29 星期三 14:09:18    加载动态链接库 风险提示:中等程度风险    允许
  376. 进程: c:\programdata\7457237\adminservice.exe
  377. 目标: c:\programdata\7457237\sysimgbase.dll
  378. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  379. 2020/1/29 星期三 14:09:26    修改文件 风险提示:木马    允许
  380. 进程: c:\programdata\7457237\adminservice.exe
  381. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  382. 规则: [文件组]《询问》f245_Documents and Settings -> [文件]c:\users\*\appdata\roaming; *.exe

  383. 2020/1/29 星期三 14:09:31    修改注册表值 风险提示:木马    阻止并结束进程
  384. 进程: c:\programdata\7457237\adminservice.exe
  385. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  386. 值: 0x30307830(808482864)
  387. 规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  388. 2020/1/29 星期三 14:09:31    创建文件 风险提示:低风险    允许
  389. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  390. 目标: C:\Users\Administrator\Desktop\2020-01-29_140916.jpg
  391. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  392. 2020/1/29 星期三 14:09:31    加载动态链接库 风险提示:中等程度风险    允许
  393. 进程: c:\programdata\7457237\adminservice.exe
  394. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  395. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  396. 2020/1/29 星期三 14:09:31    加载动态链接库 风险提示:中等程度风险    允许
  397. 进程: c:\programdata\7457237\adminservice.exe
  398. 目标: c:\programdata\7457237\sysimgbase.dll
  399. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  400. 2020/1/29 星期三 14:09:31    创建文件 风险提示:低风险    允许
  401. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  402. 目标: C:\Users\Administrator\Desktop\2020-01-29_140924.jpg
  403. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  404. 2020/1/29 星期三 14:09:31    创建新进程 风险提示:未知 (2)    允许
  405. 进程: c:\programdata\7457237\adminservice.exe
  406. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  407. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  408. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  409. 2020/1/29 星期三 14:09:31    访问网络 风险提示:未知    阻止
  410. 进程: c:\programdata\7457237\adminservice.exe
  411. 目标: UDP [本机 : 53590] ->  [119.29.29.29 : 53 (domain)]
  412. 规则:

  413. 2020/1/29 星期三 14:09:39    创建新进程 风险提示:未知    允许
  414. 进程: c:\programdata\7457237\adminservice.exe
  415. 目标: c:\programdata\7457237\adminservice.exe
  416. 命令行: "C:\ProgramData\7457237\AdminService.exe" -run
  417. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  418. 2020/1/29 星期三 14:09:39    加载动态链接库 风险提示:中等程度风险    允许
  419. 进程: c:\programdata\7457237\adminservice.exe
  420. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  421. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  422. 2020/1/29 星期三 14:09:39    加载动态链接库 风险提示:中等程度风险    允许
  423. 进程: c:\programdata\7457237\adminservice.exe
  424. 目标: c:\programdata\7457237\sysimgbase.dll
  425. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  426. 2020/1/29 星期三 14:09:43    修改文件 风险提示:木马    允许
  427. 进程: c:\programdata\7457237\adminservice.exe
  428. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  429. 规则: [文件组]《询问》f245_Documents and Settings -> [文件]c:\users\*\appdata\roaming; *.exe

  430. 2020/1/29 星期三 14:09:50    修改注册表值 风险提示:木马    阻止
  431. 进程: c:\programdata\7457237\adminservice.exe
  432. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  433. 值: 0x30307830(808482864)
  434. 规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  435. 2020/1/29 星期三 14:09:50    创建新进程 风险提示:未知    允许
  436. 进程: c:\programdata\7457237\adminservice.exe
  437. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  438. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  439. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  440. 2020/1/29 星期三 14:09:53    访问网络 风险提示:未知    阻止
  441. 进程: c:\programdata\7457237\adminservice.exe
  442. 目标: UDP [本机 : 56726] ->  [119.29.29.29 : 53 (domain)]
  443. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  444. 2020/1/29 星期三 14:09:53    创建文件 风险提示:低风险    允许
  445. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  446. 目标: C:\Users\Administrator\Desktop\2020-01-29_140949.jpg
  447. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  448. 2020/1/29 星期三 14:09:53    修改注册表值 风险提示:木马    阻止
  449. 进程: c:\programdata\7457237\adminservice.exe
  450. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  451. 值: 0x30307830(808482864)
  452. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  453. 2020/1/29 星期三 14:09:53    修改注册表值 风险提示:木马    阻止
  454. 进程: c:\programdata\7457237\adminservice.exe
  455. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  456. 值: 0x30307830(808482864)
  457. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  458. 2020/1/29 星期三 14:09:53    访问网络 风险提示:未知    阻止
  459. 进程: c:\programdata\7457237\adminservice.exe
  460. 目标: UDP [本机 : 56726] ->  [114.114.114.114 : 53 (domain)]
  461. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  462. 2020/1/29 星期三 14:10:04    访问网络 风险提示:未知    阻止
  463. 进程: c:\programdata\7457237\adminservice.exe
  464. 目标: UDP [本机 : 56726] ->  [8.8.8.8 : 53 (domain)]
  465. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  466. 2020/1/29 星期三 14:10:14    访问网络 风险提示:未知    阻止
  467. 进程: c:\programdata\7457237\adminservice.exe
  468. 目标: UDP [本机 : 51580] ->  [8.8.8.8 : 53 (domain)]
  469. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  470. 2020/1/29 星期三 14:10:25    访问网络 风险提示:未知    阻止
  471. 进程: c:\programdata\7457237\adminservice.exe
  472. 目标: UDP [本机 : 51580] ->  [119.29.29.29 : 53 (domain)]
  473. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  474. 2020/1/29 星期三 14:10:35    访问网络 风险提示:未知    阻止
  475. 进程: c:\programdata\7457237\adminservice.exe
  476. 目标: UDP [本机 : 51580] ->  [114.114.114.114 : 53 (domain)]
  477. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  478. 2020/1/29 星期三 14:11:04    访问网络 风险提示:未知    阻止
  479. 进程: c:\programdata\7457237\adminservice.exe
  480. 目标: UDP [本机 : 53073] ->  [114.114.114.114 : 53 (domain)]
  481. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  482. 2020/1/29 星期三 14:11:15    访问网络 风险提示:未知    阻止
  483. 进程: c:\programdata\7457237\adminservice.exe
  484. 目标: UDP [本机 : 53073] ->  [8.8.8.8 : 53 (domain)]
  485. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  486. 2020/1/29 星期三 14:11:25    访问网络 风险提示:未知    阻止
  487. 进程: c:\programdata\7457237\adminservice.exe
  488. 目标: UDP [本机 : 53073] ->  [119.29.29.29 : 53 (domain)]
  489. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  490. 2020/1/29 星期三 14:11:42    访问网络 风险提示:未知    阻止
  491. 进程: c:\programdata\7457237\adminservice.exe
  492. 目标: UDP [本机 : 64186] ->  [8.8.8.8 : 53 (domain)]
  493. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  494. 2020/1/29 星期三 14:11:47    加载动态链接库 风险提示:中等程度风险    允许
  495. 进程: c:\programdata\7457237\adminservice.exe
  496. 目标: c:\programdata\7457237\vixdiskmountapi.dll
  497. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  498. 2020/1/29 星期三 14:11:47    加载动态链接库 风险提示:中等程度风险    允许
  499. 进程: c:\programdata\7457237\adminservice.exe
  500. 目标: c:\programdata\7457237\sysimgbase.dll
  501. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  502. 2020/1/29 星期三 14:11:47    修改注册表值 风险提示:木马    阻止
  503. 进程: c:\programdata\7457237\adminservice.exe
  504. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  505. 值: 0x30307830(808482864)
  506. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  507. 2020/1/29 星期三 14:11:47    修改注册表值 风险提示:木马    阻止
  508. 进程: c:\programdata\7457237\adminservice.exe
  509. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  510. 值: 0x30307830(808482864)
  511. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  512. 2020/1/29 星期三 14:11:47    修改注册表值 风险提示:木马    阻止
  513. 进程: c:\programdata\7457237\adminservice.exe
  514. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  515. 值: 0x30307830(808482864)
  516. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  517. 2020/1/29 星期三 14:11:47    创建新进程 风险提示:未知    允许
  518. 进程: c:\programdata\7457237\adminservice.exe
  519. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  520. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  521. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  522. 2020/1/29 星期三 14:11:47    访问网络 风险提示:未知    阻止
  523. 进程: c:\programdata\7457237\adminservice.exe
  524. 目标: UDP [本机 : 58098] ->  [119.29.29.29 : 53 (domain)]
  525. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  526. 2020/1/29 星期三 14:11:56    创建新进程 风险提示:未知    阻止
  527. 进程: c:\programdata\7457237\adminservice.exe
  528. 目标: c:\programdata\7457237\adminservice.exe
  529. 命令行: "C:\ProgramData\7457237\AdminService.exe" -Protect
  530. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  531. 2020/1/29 星期三 14:12:05    访问网络 风险提示:未知    阻止
  532. 进程: c:\programdata\7457237\adminservice.exe
  533. 目标: UDP [本机 : 58098] ->  [114.114.114.114 : 53 (domain)]
  534. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  535. 2020/1/29 星期三 14:12:08    创建新进程 风险提示:未知    阻止
  536. 进程: c:\programdata\7457237\adminservice.exe
  537. 目标: c:\programdata\7457237\adminservice.exe
  538. 命令行: "C:\ProgramData\7457237\AdminService.exe" -Protect
  539. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  540. 2020/1/29 星期三 14:12:08    访问网络 风险提示:未知    阻止
  541. 进程: c:\programdata\7457237\adminservice.exe
  542. 目标: UDP [本机 : 58098] ->  [8.8.8.8 : 53 (domain)]
  543. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\7457237\adminservice.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
yjwfdc + 3 版区有你更精彩: )

查看全部评分

www-tekeze
发表于 2020-1-29 14:24:10 | 显示全部楼层
yjwfdc 发表于 2020-1-29 13:34
没人用md试试吗?@左手

第28是加载sysimgbase.dll,中风险,允许。。。如果黑dll无法识别,MD有啥用。。


www-tekeze
发表于 2020-1-29 14:27:31 | 显示全部楼层
1606692179 发表于 2020-1-28 20:42
大佬,这玩意会不会穿透虚拟机。。。。。。。???我有点慌

看123楼,与主机间用桥接模式别用NAT,但我相信通常都用的桥接吧,所以不用担心。


左手
发表于 2020-1-29 14:40:16 | 显示全部楼层
再测一次。
这次让他联网。
好像是在PD下创建一个名字为随机的文件夹。
有删除动作。从C盘开始删。看到一个删2020/1/29 星期三 14:31:03    删除文件 风险提示:木马    阻止并结束进程
进程: c:\programdata\8586607\adminservice.exe
目标: C:\autoexec.bat
规则: [应用程序]?* -> [文件]?:\; autoexec.bat
就直接被干掉。然后又被另一个程序加血复活。完了,又继续从C盘开始删了。MLGB。一直想看他怎么关我的电脑。半天没有反应。估计IP被拉黑了。
最后配合速度卫士,结束,删除本体和衍生物。


  1. 2020/1/29 星期三 14:25:20    创建新进程 风险提示:未知    允许
  2. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  3. 目标: c:\windows\system32\rundll32.exe
  4. 命令行: rundll32.exe C:\Windows\System32\shimgvw.dll,ImageView_Fullscreen C:\Users\Administrator\Desktop\最新价格图\N.png
  5. 规则: [应用程序]??\?* -> [子应用程序]c:\windows\system32\rundll32.exe

  6. 2020/1/29 星期三 14:25:26    创建文件夹 风险提示:低风险    允许
  7. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  8. 目标: C:\ProgramData\8586607
  9. 规则: [应用程序]?:\*\*\*\*\* -> [文件]c:\programdata\*

  10. 2020/1/29 星期三 14:25:28    修改文件 风险提示:木马    允许
  11. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  12. 目标: C:\ProgramData\8586607\sysimgbase.dll
  13. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]c:\programdata\*

  14. 2020/1/29 星期三 14:25:43    创建新进程 风险提示:未知    允许
  15. 进程: c:\users\administrator\desktop\最新价格图\价格表.exe
  16. 目标: c:\programdata\8586607\adminservice.exe
  17. 命令行: "C:\ProgramData\8586607\AdminService.exe" -run
  18. 规则: [应用程序]* -> [子应用程序]*.exe

  19. 2020/1/29 星期三 14:25:43    创建文件 风险提示:低风险    允许
  20. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  21. 目标: C:\Users\Administrator\Desktop\2020-01-29_142538.jpg
  22. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  23. 2020/1/29 星期三 14:25:43    加载动态链接库 风险提示:中等程度风险    允许
  24. 进程: c:\programdata\8586607\adminservice.exe
  25. 目标: c:\programdata\8586607\vixdiskmountapi.dll
  26. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  27. 2020/1/29 星期三 14:25:43    加载动态链接库 风险提示:中等程度风险    允许
  28. 进程: c:\programdata\8586607\adminservice.exe
  29. 目标: c:\programdata\8586607\sysimgbase.dll
  30. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  31. 2020/1/29 星期三 14:25:49    修改文件 风险提示:木马    允许
  32. 进程: c:\programdata\8586607\adminservice.exe
  33. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  34. 规则: [文件组]《询问》f245_Documents and Settings -> [文件]c:\users\*\appdata\roaming; *.exe

  35. 2020/1/29 星期三 14:25:54    修改注册表值 风险提示:木马    阻止
  36. 进程: c:\programdata\8586607\adminservice.exe
  37. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  38. 值: 0x30307830(808482864)
  39. 规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  40. 2020/1/29 星期三 14:25:54    创建文件 风险提示:低风险    允许
  41. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  42. 目标: C:\Users\Administrator\Desktop\2020-01-29_142548.jpg
  43. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  44. 2020/1/29 星期三 14:25:54    创建新进程 风险提示:未知    允许
  45. 进程: c:\programdata\8586607\adminservice.exe
  46. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  47. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  48. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  49. 2020/1/29 星期三 14:26:09    创建新进程 风险提示:未知    允许
  50. 进程: c:\programdata\8586607\adminservice.exe
  51. 目标: c:\programdata\8586607\adminservice.exe
  52. 命令行: "C:\ProgramData\8586607\AdminService.exe" -Protect
  53. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  54. 2020/1/29 星期三 14:26:09    修改注册表值 风险提示:木马    阻止
  55. 进程: c:\programdata\8586607\adminservice.exe
  56. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  57. 值: 0x30307830(808482864)
  58. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  59. 2020/1/29 星期三 14:26:09    修改注册表值 风险提示:木马    阻止
  60. 进程: c:\programdata\8586607\adminservice.exe
  61. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  62. 值: 0x30307830(808482864)
  63. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  64. 2020/1/29 星期三 14:26:09    创建文件 风险提示:低风险    允许
  65. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  66. 目标: C:\Users\Administrator\Desktop\2020-01-29_142557.jpg
  67. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  68. 2020/1/29 星期三 14:26:16    访问网络 风险提示:未知    允许
  69. 进程: c:\programdata\8586607\adminservice.exe
  70. 目标: UDP [本机 : 54317] ->  [119.29.29.29 : 53 (domain)]
  71. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  72. 2020/1/29 星期三 14:26:16    加载动态链接库 风险提示:中等程度风险    允许
  73. 进程: c:\programdata\8586607\adminservice.exe
  74. 目标: c:\programdata\8586607\vixdiskmountapi.dll
  75. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  76. 2020/1/29 星期三 14:26:16    加载动态链接库 风险提示:中等程度风险    允许
  77. 进程: c:\programdata\8586607\adminservice.exe
  78. 目标: c:\programdata\8586607\sysimgbase.dll
  79. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  80. 2020/1/29 星期三 14:26:16    创建文件 风险提示:低风险    允许
  81. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  82. 目标: C:\Users\Administrator\Desktop\2020-01-29_142614.jpg
  83. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  84. 2020/1/29 星期三 14:26:16    加载动态链接库 风险提示:中等程度风险    允许
  85. 进程: c:\programdata\8586607\adminservice.exe
  86. 目标: c:\windows\system32\dnsapi.dll
  87. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  88. 2020/1/29 星期三 14:26:17    创建文件 风险提示:低风险    允许
  89. 进程: c:\programdata\8586607\adminservice.exe
  90. 目标: C:\Users\Administrator\AppData\Roaming\Config.ini
  91. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.ini

  92. 2020/1/29 星期三 14:26:37    删除文件 风险提示:木马    阻止
  93. 进程: c:\windows\system32\rundll32.exe
  94. 目标: C:\Users\Administrator\Desktop\最新价格图\N.png
  95. 规则: [应用程序组]→a070_SystemRoot《系统程序》 -> [应用程序]c:\windows\system32\rundll32.exe -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.png

  96. 2020/1/29 星期三 14:28:12    创建文件 风险提示:低风险    允许
  97. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  98. 目标: C:\Users\Administrator\Desktop\2020-01-29_142812.jpg
  99. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  100. 2020/1/29 星期三 14:28:46    加载动态链接库 风险提示:中等程度风险    允许
  101. 进程: c:\programdata\8586607\adminservice.exe
  102. 目标: c:\programdata\8586607\vixdiskmountapi.dll
  103. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  104. 2020/1/29 星期三 14:28:46    加载动态链接库 风险提示:中等程度风险    允许
  105. 进程: c:\programdata\8586607\adminservice.exe
  106. 目标: c:\programdata\8586607\sysimgbase.dll
  107. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  108. 2020/1/29 星期三 14:28:46    修改注册表值 风险提示:木马    阻止
  109. 进程: c:\programdata\8586607\adminservice.exe
  110. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  111. 值: 0x30307830(808482864)
  112. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  113. 2020/1/29 星期三 14:28:46    修改注册表值 风险提示:木马    阻止
  114. 进程: c:\programdata\8586607\adminservice.exe
  115. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  116. 值: 0x30307830(808482864)
  117. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  118. 2020/1/29 星期三 14:28:46    修改注册表值 风险提示:木马    阻止
  119. 进程: c:\programdata\8586607\adminservice.exe
  120. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  121. 值: 0x30307830(808482864)
  122. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  123. 2020/1/29 星期三 14:28:46    创建新进程 风险提示:未知    允许
  124. 进程: c:\programdata\8586607\adminservice.exe
  125. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  126. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  127. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  128. 2020/1/29 星期三 14:29:04    访问网络 风险提示:未知    允许
  129. 进程: c:\programdata\8586607\adminservice.exe
  130. 目标: UDP [本机 : 65290] ->  [114.114.114.114 : 53 (domain)]
  131. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  132. 2020/1/29 星期三 14:29:10    创建新进程 风险提示:未知    允许
  133. 进程: c:\programdata\8586607\adminservice.exe
  134. 目标: c:\programdata\8586607\adminservice.exe
  135. 命令行: "C:\ProgramData\8586607\AdminService.exe" -run
  136. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

  137. 2020/1/29 星期三 14:29:11    加载动态链接库 风险提示:中等程度风险    允许
  138. 进程: c:\programdata\8586607\adminservice.exe
  139. 目标: c:\programdata\8586607\vixdiskmountapi.dll
  140. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  141. 2020/1/29 星期三 14:29:11    加载动态链接库 风险提示:中等程度风险    允许
  142. 进程: c:\programdata\8586607\adminservice.exe
  143. 目标: c:\programdata\8586607\sysimgbase.dll
  144. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  145. 2020/1/29 星期三 14:29:14    修改文件 风险提示:木马    允许
  146. 进程: c:\programdata\8586607\adminservice.exe
  147. 目标: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  148. 规则: [文件组]《询问》f245_Documents and Settings -> [文件]c:\users\*\appdata\roaming; *.exe

  149. 2020/1/29 星期三 14:29:19    修改注册表值 风险提示:木马    阻止
  150. 进程: c:\programdata\8586607\adminservice.exe
  151. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  152. 值: 0x30307830(808482864)
  153. 规则: [注册表组]r015_注意 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  154. 2020/1/29 星期三 14:29:19    创建新进程 风险提示:未知    允许
  155. 进程: c:\programdata\8586607\adminservice.exe
  156. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  157. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  158. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  159. 2020/1/29 星期三 14:29:19    修改注册表值 风险提示:木马    阻止
  160. 进程: c:\programdata\8586607\adminservice.exe
  161. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  162. 值: 0x30307830(808482864)
  163. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  164. 2020/1/29 星期三 14:29:19    修改注册表值 风险提示:木马    阻止
  165. 进程: c:\programdata\8586607\adminservice.exe
  166. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  167. 值: 0x30307830(808482864)
  168. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  169. 2020/1/29 星期三 14:29:46    加载动态链接库 风险提示:中等程度风险    允许
  170. 进程: c:\programdata\8586607\adminservice.exe
  171. 目标: c:\windows\system32\dnsapi.dll
  172. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  173. 2020/1/29 星期三 14:30:09    删除文件 风险提示:木马    阻止
  174. 进程: c:\programdata\8586607\adminservice.exe
  175. 目标: C:\$360Section\360.0ECBA6E008857EC7AD53C1547F2F192F.q3q
  176. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  177. 2020/1/29 星期三 14:30:09    删除文件 风险提示:木马    阻止
  178. 进程: c:\programdata\8586607\adminservice.exe
  179. 目标: C:\$360Section\360.43F768CF54BC2E6916D62B6EAA8B0609.q3q
  180. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  181. 2020/1/29 星期三 14:30:09    删除文件 风险提示:木马    阻止
  182. 进程: c:\programdata\8586607\adminservice.exe
  183. 目标: C:\$360Section\360.5CC7A6C7A4FD51456D4745C8B1012BC4.q3q
  184. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  185. 2020/1/29 星期三 14:30:09    删除文件 风险提示:木马    阻止
  186. 进程: c:\programdata\8586607\adminservice.exe
  187. 目标: C:\$360Section\360.7F9783F4D03D91DFF3F872C859FCF970.q3q
  188. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  189. 2020/1/29 星期三 14:30:09    删除文件 风险提示:木马    阻止
  190. 进程: c:\programdata\8586607\adminservice.exe
  191. 目标: C:\$360Section\360.DADEE5BF2AFB739D054335172D1DB2B7.q3q
  192. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  193. 2020/1/29 星期三 14:30:09    删除文件 风险提示:木马    阻止
  194. 进程: c:\programdata\8586607\adminservice.exe
  195. 目标: C:\$360Section\360.FAC3E815E11695C6D5657BF335101702.q3q
  196. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  197. 2020/1/29 星期三 14:30:18    删除文件 风险提示:木马    阻止
  198. 进程: c:\programdata\8586607\adminservice.exe
  199. 目标: C:\$360Section\EZFYSL-MANUAL.txt
  200. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  201. 2020/1/29 星期三 14:30:18    删除文件 风险提示:木马    阻止
  202. 进程: c:\programdata\8586607\adminservice.exe
  203. 目标: C:\$360Section\EZFYSL-MANUAL.txt
  204. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  205. 2020/1/29 星期三 14:30:18    删除文件 风险提示:木马    阻止
  206. 进程: c:\programdata\8586607\adminservice.exe
  207. 目标: C:\$360Section\PMRXK-DECRYPT.txt
  208. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  209. 2020/1/29 星期三 14:30:18    删除文件 风险提示:木马    阻止
  210. 进程: c:\programdata\8586607\adminservice.exe
  211. 目标: C:\$360Section\RPSZFYKY-MANUAL.txt
  212. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  213. 2020/1/29 星期三 14:30:18    删除文件 风险提示:木马    阻止
  214. 进程: c:\programdata\8586607\adminservice.exe
  215. 目标: C:\$360Section\VAJQP-MANUAL.txt
  216. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  217. 2020/1/29 星期三 14:30:24    删除文件夹 风险提示:木马    阻止
  218. 进程: c:\programdata\8586607\adminservice.exe
  219. 目标: C:\$360Section
  220. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  221. 2020/1/29 星期三 14:30:32    删除文件 风险提示:木马    阻止
  222. 进程: c:\programdata\8586607\adminservice.exe
  223. 目标: C:\$loading\Word\EngineDP.bat
  224. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat

  225. 2020/1/29 星期三 14:30:32    创建文件 风险提示:低风险    允许
  226. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  227. 目标: C:\Users\Administrator\Desktop\2020-01-29_143030.jpg
  228. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  229. 2020/1/29 星期三 14:30:32    删除文件 风险提示:木马    阻止
  230. 进程: c:\programdata\8586607\adminservice.exe
  231. 目标: C:\$loading\Word\EngineDP.bat
  232. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$loading\word\*

  233. 2020/1/29 星期三 14:30:35    删除文件夹 风险提示:木马    阻止
  234. 进程: c:\programdata\8586607\adminservice.exe
  235. 目标: C:\$loading\Word
  236. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  237. 2020/1/29 星期三 14:30:38    删除文件夹 风险提示:木马    阻止
  238. 进程: c:\programdata\8586607\adminservice.exe
  239. 目标: C:\$loading
  240. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  241. 2020/1/29 星期三 14:30:38    读文件 风险提示:低风险    阻止
  242. 进程: c:\programdata\8586607\adminservice.exe
  243. 目标: C:\$Recycle.Bin\EZFYSL-MANUAL.txt
  244. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  245. 2020/1/29 星期三 14:30:38    读文件 风险提示:低风险    阻止
  246. 进程: c:\programdata\8586607\adminservice.exe
  247. 目标: C:\$Recycle.Bin\RPSZFYKY-MANUAL.txt
  248. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  249. 2020/1/29 星期三 14:30:38    读文件夹 风险提示:低风险    阻止
  250. 进程: c:\programdata\8586607\adminservice.exe
  251. 目标: C:\$Recycle.Bin\S-1-5-18
  252. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  253. 2020/1/29 星期三 14:30:38    读文件夹 风险提示:低风险    阻止
  254. 进程: c:\programdata\8586607\adminservice.exe
  255. 目标: C:\$Recycle.Bin\S-1-5-21-719447134-2114279163-1642779816-500
  256. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  257. 2020/1/29 星期三 14:30:38    读文件 风险提示:低风险    阻止
  258. 进程: c:\programdata\8586607\adminservice.exe
  259. 目标: C:\$Recycle.Bin\VAJQP-MANUAL.txt
  260. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  261. 2020/1/29 星期三 14:30:38    删除文件夹 风险提示:木马    阻止
  262. 进程: c:\programdata\8586607\adminservice.exe
  263. 目标: C:\$Recycle.Bin
  264. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  265. 2020/1/29 星期三 14:30:41    删除文件 风险提示:木马    阻止
  266. 进程: c:\programdata\8586607\adminservice.exe
  267. 目标: C:\360.ico
  268. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.ico

  269. 2020/1/29 星期三 14:30:41    删除文件 风险提示:木马    阻止
  270. 进程: c:\programdata\8586607\adminservice.exe
  271. 目标: C:\360.ico
  272. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\; 360.ico

  273. 2020/1/29 星期三 14:30:41    删除文件 风险提示:木马    阻止
  274. 进程: c:\programdata\8586607\adminservice.exe
  275. 目标: C:\360Rec\20180515\1247A4E.vir
  276. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  277. 2020/1/29 星期三 14:30:41    删除文件 风险提示:木马    阻止
  278. 进程: c:\programdata\8586607\adminservice.exe
  279. 目标: C:\360Rec\20180515\215C551.vir
  280. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  281. 2020/1/29 星期三 14:30:43    删除文件 风险提示:木马    阻止
  282. 进程: c:\programdata\8586607\adminservice.exe
  283. 目标: C:\360Rec\20180515\EZFYSL-MANUAL.txt
  284. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  285. 2020/1/29 星期三 14:30:43    删除文件 风险提示:木马    阻止
  286. 进程: c:\programdata\8586607\adminservice.exe
  287. 目标: C:\360Rec\20180515\EZFYSL-MANUAL.txt
  288. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  289. 2020/1/29 星期三 14:30:43    删除文件 风险提示:木马    阻止
  290. 进程: c:\programdata\8586607\adminservice.exe
  291. 目标: C:\360Rec\20180515\PMRXK-DECRYPT.txt.vajqp
  292. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  293. 2020/1/29 星期三 14:30:43    删除文件 风险提示:木马    阻止
  294. 进程: c:\programdata\8586607\adminservice.exe
  295. 目标: C:\360Rec\20180515\RPSZFYKY-MANUAL.txt
  296. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  297. 2020/1/29 星期三 14:30:43    删除文件 风险提示:木马    阻止
  298. 进程: c:\programdata\8586607\adminservice.exe
  299. 目标: C:\360Rec\20180515\VAJQP-MANUAL.txt
  300. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  301. 2020/1/29 星期三 14:30:46    删除文件夹 风险提示:木马    阻止
  302. 进程: c:\programdata\8586607\adminservice.exe
  303. 目标: C:\360Rec\20180515
  304. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  305. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  306. 进程: c:\programdata\8586607\adminservice.exe
  307. 目标: C:\360Rec\EZFYSL-MANUAL.txt
  308. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  309. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  310. 进程: c:\programdata\8586607\adminservice.exe
  311. 目标: C:\360Rec\EZFYSL-MANUAL.txt
  312. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  313. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  314. 进程: c:\programdata\8586607\adminservice.exe
  315. 目标: C:\360Rec\PMRXK-DECRYPT.txt.vajqp
  316. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  317. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  318. 进程: c:\programdata\8586607\adminservice.exe
  319. 目标: C:\360Rec\RPSZFYKY-MANUAL.txt
  320. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  321. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  322. 进程: c:\programdata\8586607\adminservice.exe
  323. 目标: C:\360Rec\VAJQP-MANUAL.txt
  324. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  325. 2020/1/29 星期三 14:30:49    删除文件夹 风险提示:木马    阻止
  326. 进程: c:\programdata\8586607\adminservice.exe
  327. 目标: C:\360Rec
  328. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  329. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  330. 进程: c:\programdata\8586607\adminservice.exe
  331. 目标: C:\360SANDBOX\360SandBox.sav
  332. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  333. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  334. 进程: c:\programdata\8586607\adminservice.exe
  335. 目标: C:\360SANDBOX\360SandBox.sav.LOG2
  336. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  337. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  338. 进程: c:\programdata\8586607\adminservice.exe
  339. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TM.blf
  340. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  341. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  342. 进程: c:\programdata\8586607\adminservice.exe
  343. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TMContainer00000000000000000001.regtrans-ms
  344. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  345. 2020/1/29 星期三 14:30:49    删除文件 风险提示:木马    阻止
  346. 进程: c:\programdata\8586607\adminservice.exe
  347. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TMContainer00000000000000000002.regtrans-ms
  348. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  349. 2020/1/29 星期三 14:30:52    删除文件 风险提示:木马    阻止
  350. 进程: c:\programdata\8586607\adminservice.exe
  351. 目标: C:\360SANDBOX\EZFYSL-MANUAL.txt
  352. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  353. 2020/1/29 星期三 14:30:52    删除文件 风险提示:木马    阻止
  354. 进程: c:\programdata\8586607\adminservice.exe
  355. 目标: C:\360SANDBOX\EZFYSL-MANUAL.txt
  356. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  357. 2020/1/29 星期三 14:30:52    删除文件 风险提示:木马    阻止
  358. 进程: c:\programdata\8586607\adminservice.exe
  359. 目标: C:\360SANDBOX\PMRXK-DECRYPT.txt
  360. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  361. 2020/1/29 星期三 14:30:52    删除文件 风险提示:木马    阻止
  362. 进程: c:\programdata\8586607\adminservice.exe
  363. 目标: C:\360SANDBOX\RPSZFYKY-MANUAL.txt
  364. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  365. 2020/1/29 星期三 14:30:52    删除文件 风险提示:木马    阻止
  366. 进程: c:\programdata\8586607\adminservice.exe
  367. 目标: C:\360SANDBOX\VAJQP-MANUAL.txt
  368. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  369. 2020/1/29 星期三 14:30:52    删除文件夹 风险提示:木马    阻止
  370. 进程: c:\programdata\8586607\adminservice.exe
  371. 目标: C:\360SANDBOX
  372. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  373. 2020/1/29 星期三 14:30:52    删除文件夹 风险提示:木马    阻止
  374. 进程: c:\programdata\8586607\adminservice.exe
  375. 目标: C:\360安全浏览器下载
  376. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  377. 2020/1/29 星期三 14:30:55    删除文件夹 风险提示:木马    阻止
  378. 进程: c:\programdata\8586607\adminservice.exe
  379. 目标: C:\360驱动大师目录\下载保存目录\SeachDownload
  380. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  381. 2020/1/29 星期三 14:30:57    删除文件夹 风险提示:木马    阻止
  382. 进程: c:\programdata\8586607\adminservice.exe
  383. 目标: C:\360驱动大师目录\下载保存目录
  384. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  385. 2020/1/29 星期三 14:30:57    删除文件夹 风险提示:木马    阻止
  386. 进程: c:\programdata\8586607\adminservice.exe
  387. 目标: C:\360驱动大师目录
  388. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  389. 2020/1/29 星期三 14:30:59    删除文件夹 风险提示:木马    阻止
  390. 进程: c:\programdata\8586607\adminservice.exe
  391. 目标: C:\545f23c002206df186bc8618158deb55\hls
  392. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  393. 2020/1/29 星期三 14:31:02    删除文件 风险提示:木马    阻止
  394. 进程: c:\programdata\8586607\adminservice.exe
  395. 目标: C:\545f23c002206df186bc8618158deb55\目录说明.txt
  396. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  397. 2020/1/29 星期三 14:31:03    删除文件 风险提示:木马    阻止
  398. 进程: c:\programdata\8586607\adminservice.exe
  399. 目标: C:\545f23c002206df186bc8618158deb55\目录说明.txt
  400. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\545f23c002206df186bc8618158deb55\*

  401. 2020/1/29 星期三 14:31:03    删除文件夹 风险提示:木马    阻止
  402. 进程: c:\programdata\8586607\adminservice.exe
  403. 目标: C:\545f23c002206df186bc8618158deb55
  404. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  405. 2020/1/29 星期三 14:31:03    删除文件 风险提示:木马    阻止并结束进程
  406. 进程: c:\programdata\8586607\adminservice.exe
  407. 目标: C:\autoexec.bat
  408. 规则: [应用程序]?* -> [文件]?:\; autoexec.bat

  409. 2020/1/29 星期三 14:31:03    加载动态链接库 风险提示:中等程度风险    允许
  410. 进程: c:\programdata\8586607\adminservice.exe
  411. 目标: c:\programdata\8586607\vixdiskmountapi.dll
  412. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  413. 2020/1/29 星期三 14:31:03    加载动态链接库 风险提示:中等程度风险    允许
  414. 进程: c:\programdata\8586607\adminservice.exe
  415. 目标: c:\programdata\8586607\sysimgbase.dll
  416. 规则: [应用程序]?:\*\*\* -> [动态链接库].\*

  417. 2020/1/29 星期三 14:31:03    修改注册表值 风险提示:木马    阻止
  418. 进程: c:\programdata\8586607\adminservice.exe
  419. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  420. 值: 0x30307830(808482864)
  421. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  422. 2020/1/29 星期三 14:31:03    修改注册表值 风险提示:木马    阻止
  423. 进程: c:\programdata\8586607\adminservice.exe
  424. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  425. 值: 0x30307830(808482864)
  426. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  427. 2020/1/29 星期三 14:31:03    修改注册表值 风险提示:木马    阻止
  428. 进程: c:\programdata\8586607\adminservice.exe
  429. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
  430. 值: 0x30307830(808482864)
  431. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies*

  432. 2020/1/29 星期三 14:31:03    创建新进程 风险提示:未知    允许
  433. 进程: c:\programdata\8586607\adminservice.exe
  434. 目标: c:\users\administrator\appdata\roaming\leagueclient.exe
  435. 命令行: C:\Users\Administrator\AppData\Roaming\LeagueClient.exe
  436. 规则: [应用程序]??\?* -> [子应用程序]c:\users\*\appdata\roaming\*

  437. 2020/1/29 星期三 14:31:37    访问网络 风险提示:未知    允许
  438. 进程: c:\programdata\8586607\adminservice.exe
  439. 目标: UDP [本机 : 63367] ->  [119.29.29.29 : 53 (domain)]
  440. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

  441. 2020/1/29 星期三 14:31:37    创建文件 风险提示:低风险    允许
  442. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
  443. 目标: C:\Users\Administrator\Desktop\2020-01-29_143135.jpg
  444. 规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

  445. 2020/1/29 星期三 14:31:37    加载动态链接库 风险提示:中等程度风险    允许
  446. 进程: c:\programdata\8586607\adminservice.exe
  447. 目标: c:\windows\system32\dnsapi.dll
  448. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  449. 2020/1/29 星期三 14:31:58    创建文件 风险提示:低风险    允许
  450. 进程: c:\windows\explorer.exe
  451. 目标: G:\movie\TLF\勇闯夺命岛.The.Rock.1996.BluRay.DTS.3Audio.MiniFHD-GOD.mkv
  452. 规则: [应用程序]c:\windows\explorer.exe -> [文件]?:\movie\tlf\*

  453. 2020/1/29 星期三 14:32:10    删除文件 风险提示:木马    阻止
  454. 进程: c:\programdata\8586607\adminservice.exe
  455. 目标: C:\$360Section\360.0ECBA6E008857EC7AD53C1547F2F192F.q3q
  456. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  457. 2020/1/29 星期三 14:32:10    删除文件 风险提示:木马    阻止
  458. 进程: c:\programdata\8586607\adminservice.exe
  459. 目标: C:\$360Section\360.43F768CF54BC2E6916D62B6EAA8B0609.q3q
  460. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  461. 2020/1/29 星期三 14:32:10    删除文件 风险提示:木马    阻止
  462. 进程: c:\programdata\8586607\adminservice.exe
  463. 目标: C:\$360Section\360.5CC7A6C7A4FD51456D4745C8B1012BC4.q3q
  464. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  465. 2020/1/29 星期三 14:32:10    删除文件 风险提示:木马    阻止
  466. 进程: c:\programdata\8586607\adminservice.exe
  467. 目标: C:\$360Section\360.7F9783F4D03D91DFF3F872C859FCF970.q3q
  468. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  469. 2020/1/29 星期三 14:32:10    删除文件 风险提示:木马    阻止
  470. 进程: c:\programdata\8586607\adminservice.exe
  471. 目标: C:\$360Section\360.DADEE5BF2AFB739D054335172D1DB2B7.q3q
  472. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  473. 2020/1/29 星期三 14:32:10    删除文件 风险提示:木马    阻止
  474. 进程: c:\programdata\8586607\adminservice.exe
  475. 目标: C:\$360Section\360.FAC3E815E11695C6D5657BF335101702.q3q
  476. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  477. 2020/1/29 星期三 14:32:17    删除文件 风险提示:木马    阻止
  478. 进程: c:\programdata\8586607\adminservice.exe
  479. 目标: C:\$360Section\EZFYSL-MANUAL.txt
  480. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  481. 2020/1/29 星期三 14:32:17    删除文件 风险提示:木马    阻止
  482. 进程: c:\programdata\8586607\adminservice.exe
  483. 目标: C:\$360Section\EZFYSL-MANUAL.txt
  484. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  485. 2020/1/29 星期三 14:32:17    删除文件 风险提示:木马    阻止
  486. 进程: c:\programdata\8586607\adminservice.exe
  487. 目标: C:\$360Section\PMRXK-DECRYPT.txt
  488. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  489. 2020/1/29 星期三 14:32:17    删除文件 风险提示:木马    阻止
  490. 进程: c:\programdata\8586607\adminservice.exe
  491. 目标: C:\$360Section\RPSZFYKY-MANUAL.txt
  492. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  493. 2020/1/29 星期三 14:32:17    删除文件 风险提示:木马    阻止
  494. 进程: c:\programdata\8586607\adminservice.exe
  495. 目标: C:\$360Section\VAJQP-MANUAL.txt
  496. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$360section\*

  497. 2020/1/29 星期三 14:32:20    删除文件夹 风险提示:木马    阻止
  498. 进程: c:\programdata\8586607\adminservice.exe
  499. 目标: C:\$360Section
  500. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  501. 2020/1/29 星期三 14:32:23    删除文件 风险提示:木马    阻止
  502. 进程: c:\programdata\8586607\adminservice.exe
  503. 目标: C:\$loading\Word\EngineDP.bat
  504. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat

  505. 2020/1/29 星期三 14:32:23    删除文件 风险提示:木马    阻止
  506. 进程: c:\programdata\8586607\adminservice.exe
  507. 目标: C:\$loading\Word\EngineDP.bat
  508. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\$loading\word\*

  509. 2020/1/29 星期三 14:32:26    删除文件夹 风险提示:木马    阻止
  510. 进程: c:\programdata\8586607\adminservice.exe
  511. 目标: C:\$loading\Word
  512. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  513. 2020/1/29 星期三 14:32:28    删除文件夹 风险提示:木马    阻止
  514. 进程: c:\programdata\8586607\adminservice.exe
  515. 目标: C:\$loading
  516. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  517. 2020/1/29 星期三 14:32:28    读文件 风险提示:低风险    阻止
  518. 进程: c:\programdata\8586607\adminservice.exe
  519. 目标: C:\$Recycle.Bin\EZFYSL-MANUAL.txt
  520. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  521. 2020/1/29 星期三 14:32:28    读文件 风险提示:低风险    阻止
  522. 进程: c:\programdata\8586607\adminservice.exe
  523. 目标: C:\$Recycle.Bin\RPSZFYKY-MANUAL.txt
  524. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  525. 2020/1/29 星期三 14:32:28    读文件夹 风险提示:低风险    阻止
  526. 进程: c:\programdata\8586607\adminservice.exe
  527. 目标: C:\$Recycle.Bin\S-1-5-18
  528. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  529. 2020/1/29 星期三 14:32:28    读文件夹 风险提示:低风险    阻止
  530. 进程: c:\programdata\8586607\adminservice.exe
  531. 目标: C:\$Recycle.Bin\S-1-5-21-719447134-2114279163-1642779816-500
  532. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  533. 2020/1/29 星期三 14:32:28    读文件 风险提示:低风险    阻止
  534. 进程: c:\programdata\8586607\adminservice.exe
  535. 目标: C:\$Recycle.Bin\VAJQP-MANUAL.txt
  536. 规则: [应用程序]?:\*\*\* -> [文件组]《拦截》f200_Recycle -> [文件]?:\*recycle*\*

  537. 2020/1/29 星期三 14:32:28    删除文件夹 风险提示:木马    阻止
  538. 进程: c:\programdata\8586607\adminservice.exe
  539. 目标: C:\$Recycle.Bin
  540. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  541. 2020/1/29 星期三 14:32:30    删除文件 风险提示:木马    阻止
  542. 进程: c:\programdata\8586607\adminservice.exe
  543. 目标: C:\360.ico
  544. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.ico

  545. 2020/1/29 星期三 14:32:30    删除文件 风险提示:木马    阻止
  546. 进程: c:\programdata\8586607\adminservice.exe
  547. 目标: C:\360.ico
  548. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\; 360.ico

  549. 2020/1/29 星期三 14:32:30    删除文件 风险提示:木马    阻止
  550. 进程: c:\programdata\8586607\adminservice.exe
  551. 目标: C:\360Rec\20180515\1247A4E.vir
  552. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  553. 2020/1/29 星期三 14:32:30    删除文件 风险提示:木马    阻止
  554. 进程: c:\programdata\8586607\adminservice.exe
  555. 目标: C:\360Rec\20180515\215C551.vir
  556. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  557. 2020/1/29 星期三 14:32:33    删除文件 风险提示:木马    阻止
  558. 进程: c:\programdata\8586607\adminservice.exe
  559. 目标: C:\360Rec\20180515\EZFYSL-MANUAL.txt
  560. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  561. 2020/1/29 星期三 14:32:33    删除文件 风险提示:木马    阻止
  562. 进程: c:\programdata\8586607\adminservice.exe
  563. 目标: C:\360Rec\20180515\EZFYSL-MANUAL.txt
  564. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  565. 2020/1/29 星期三 14:32:33    删除文件 风险提示:木马    阻止
  566. 进程: c:\programdata\8586607\adminservice.exe
  567. 目标: C:\360Rec\20180515\PMRXK-DECRYPT.txt.vajqp
  568. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  569. 2020/1/29 星期三 14:32:33    删除文件 风险提示:木马    阻止
  570. 进程: c:\programdata\8586607\adminservice.exe
  571. 目标: C:\360Rec\20180515\RPSZFYKY-MANUAL.txt
  572. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  573. 2020/1/29 星期三 14:32:33    删除文件 风险提示:木马    阻止
  574. 进程: c:\programdata\8586607\adminservice.exe
  575. 目标: C:\360Rec\20180515\VAJQP-MANUAL.txt
  576. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\20180515\*

  577. 2020/1/29 星期三 14:32:36    删除文件夹 风险提示:木马    阻止
  578. 进程: c:\programdata\8586607\adminservice.exe
  579. 目标: C:\360Rec\20180515
  580. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  581. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  582. 进程: c:\programdata\8586607\adminservice.exe
  583. 目标: C:\360Rec\EZFYSL-MANUAL.txt
  584. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  585. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  586. 进程: c:\programdata\8586607\adminservice.exe
  587. 目标: C:\360Rec\EZFYSL-MANUAL.txt
  588. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  589. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  590. 进程: c:\programdata\8586607\adminservice.exe
  591. 目标: C:\360Rec\PMRXK-DECRYPT.txt.vajqp
  592. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  593. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  594. 进程: c:\programdata\8586607\adminservice.exe
  595. 目标: C:\360Rec\RPSZFYKY-MANUAL.txt
  596. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  597. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  598. 进程: c:\programdata\8586607\adminservice.exe
  599. 目标: C:\360Rec\VAJQP-MANUAL.txt
  600. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360rec\*

  601. 2020/1/29 星期三 14:32:39    删除文件夹 风险提示:木马    阻止
  602. 进程: c:\programdata\8586607\adminservice.exe
  603. 目标: C:\360Rec
  604. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  605. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  606. 进程: c:\programdata\8586607\adminservice.exe
  607. 目标: C:\360SANDBOX\360SandBox.sav
  608. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  609. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  610. 进程: c:\programdata\8586607\adminservice.exe
  611. 目标: C:\360SANDBOX\360SandBox.sav.LOG2
  612. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  613. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  614. 进程: c:\programdata\8586607\adminservice.exe
  615. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TM.blf
  616. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  617. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  618. 进程: c:\programdata\8586607\adminservice.exe
  619. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TMContainer00000000000000000001.regtrans-ms
  620. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  621. 2020/1/29 星期三 14:32:39    删除文件 风险提示:木马    阻止
  622. 进程: c:\programdata\8586607\adminservice.exe
  623. 目标: C:\360SANDBOX\360SandBox.sav{18e837da-5462-11e8-a986-408d5c8fef0a}.TMContainer00000000000000000002.regtrans-ms
  624. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*

  625. 2020/1/29 星期三 14:32:41    删除文件 风险提示:木马    阻止
  626. 进程: c:\programdata\8586607\adminservice.exe
  627. 目标: C:\360SANDBOX\EZFYSL-MANUAL.txt
  628. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  629. 2020/1/29 星期三 14:32:41    删除文件 风险提示:木马    阻止
  630. 进程: c:\programdata\8586607\adminservice.exe
  631. 目标: C:\360SANDBOX\EZFYSL-MANUAL.txt
  632. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  633. 2020/1/29 星期三 14:32:41    删除文件 风险提示:木马    阻止
  634. 进程: c:\programdata\8586607\adminservice.exe
  635. 目标: C:\360SANDBOX\PMRXK-DECRYPT.txt
  636. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  637. 2020/1/29 星期三 14:32:41    删除文件 风险提示:木马    阻止
  638. 进程: c:\programdata\8586607\adminservice.exe
  639. 目标: C:\360SANDBOX\RPSZFYKY-MANUAL.txt
  640. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  641. 2020/1/29 星期三 14:32:41    删除文件 风险提示:木马    阻止
  642. 进程: c:\programdata\8586607\adminservice.exe
  643. 目标: C:\360SANDBOX\VAJQP-MANUAL.txt
  644. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\360sandbox\*

  645. 2020/1/29 星期三 14:32:41    删除文件夹 风险提示:木马    阻止
  646. 进程: c:\programdata\8586607\adminservice.exe
  647. 目标: C:\360SANDBOX
  648. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  649. 2020/1/29 星期三 14:32:41    删除文件夹 风险提示:木马    阻止
  650. 进程: c:\programdata\8586607\adminservice.exe
  651. 目标: C:\360安全浏览器下载
  652. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  653. 2020/1/29 星期三 14:32:44    删除文件夹 风险提示:木马    阻止
  654. 进程: c:\programdata\8586607\adminservice.exe
  655. 目标: C:\360驱动大师目录\下载保存目录\SeachDownload
  656. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  657. 2020/1/29 星期三 14:32:46    删除文件夹 风险提示:木马    阻止
  658. 进程: c:\programdata\8586607\adminservice.exe
  659. 目标: C:\360驱动大师目录\下载保存目录
  660. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  661. 2020/1/29 星期三 14:32:46    删除文件夹 风险提示:木马    阻止
  662. 进程: c:\programdata\8586607\adminservice.exe
  663. 目标: C:\360驱动大师目录
  664. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\programdata\8586607\adminservice.exe -> [文件]c:\

  665. 2020/1/29 星期三 14:32:49    删除文件夹 风险提示:木马    阻止
  666. 进程: c:\programdata\8586607\adminservice.exe
  667. 目标: C:\545f23c002206df186bc8618158deb55\hls
  668. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  669. 2020/1/29 星期三 14:32:51    删除文件 风险提示:木马    阻止并结束进程
  670. 进程: c:\programdata\8586607\adminservice.exe
  671. 目标: C:\545f23c002206df186bc8618158deb55\目录说明.txt
  672. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.txt

  673. 2020/1/29 星期三 14:33:14    创建新进程 风险提示:未知 (3)    阻止
  674. 进程: c:\programdata\8586607\adminservice.exe
  675. 目标: c:\programdata\8586607\adminservice.exe
  676. 命令行: "C:\ProgramData\8586607\AdminService.exe" -run
  677. 规则: [应用程序]?:\*\*\* -> [子应用程序]《.\*允许自身》

复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2020-1-29 14:41:36 | 显示全部楼层
www-tekeze 发表于 2020-1-29 14:24
第28是加载sysimgbase.dll,中风险,允许。。。如果黑dll无法识别,MD有啥用。。

那个中风险的字眼,是我自己修 MD才有的提示。
规则是直接允许加载DLL的。不需要判断。
www-tekeze
发表于 2020-1-29 14:50:01 | 显示全部楼层
左手 发表于 2020-1-29 14:41
那个中风险的字眼,是我自己修 MD才有的提示。
规则是直接允许加载DLL的。不需要判断。

嗯,加载dll很正常。。。这就是白加黑的厉害,识别不了黑dll其它都是空谈。。





您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:22 , Processed in 0.101590 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表