【1】2023-10-14 15:30:22,系统防护,系统加固,services.exe触犯注册表防护规则, 已阻止
防护项目:服务/驱动配置项
操作类型:修改
数据内容:\??\C:\ProgramData\Sys.txt
目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DKDKVbbPa\ImagePath
操作结果:已阻止
进程ID:900
操作进程:C:\Windows\System32\services.exe
操作进程命令行:C:\Windows\system32\services.exe
操作进程校验和:D7A213F3CFEE2A8A191769EB33847953BE51DE54
父进程ID:784
父进程:C:\Windows\System32\wininit.exe
父进程命令行:wininit.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【2】2023-10-14 15:29:25,系统防护,系统加固,services.exe触犯注册表防护规则, 已阻止
防护项目:服务/驱动配置项
操作类型:修改
数据内容:\??\C:\ProgramData\Sys.txt
目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WadyYhldJ\ImagePath
操作结果:已阻止
进程ID:900
操作进程:C:\Windows\System32\services.exe
操作进程命令行:C:\Windows\system32\services.exe
操作进程校验和:D7A213F3CFEE2A8A191769EB33847953BE51DE54
父进程ID:784
父进程:C:\Windows\System32\wininit.exe
父进程命令行:wininit.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【3】2023-10-14 15:28:48,系统防护,系统加固,services.exe触犯注册表防护规则, 已阻止
防护项目:服务/驱动配置项
操作类型:修改
数据内容:\??\C:\ProgramData\Sys.txt
目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PGgtDsnha\ImagePath
操作结果:已阻止
进程ID:900
操作进程:C:\Windows\System32\services.exe
操作进程命令行:C:\Windows\system32\services.exe
操作进程校验和:D7A213F3CFEE2A8A191769EB33847953BE51DE54
父进程ID:784
父进程:C:\Windows\System32\wininit.exe
父进程命令行:wininit.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【4】2023-10-14 15:27:20,病毒防护,WEB扫描,发现病毒Trojan/Generic!231F961C8D85CF54, 已阻止
病毒名称:Trojan/Generic!231F961C8D85CF54
病毒ID:231F961C8D85CF54
病毒URL:http://103.45.162.24:81/dlx.png
操作结果:已阻止
进程ID:8472
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\利多星智投有限公司涉嫌欺诈套路消费者视频流出-已上传网络安全中心.com
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\利多星智投有限公司涉嫌欺诈套路消费者视频流出-已上传网络安全中心.com"
操作进程校验和:6902f160dde7ebde42c6c6bfa3360324b23e0b42
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【5】2023-10-14 15:27:04,系统防护,系统加固,UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr触犯注册表防护规则, 已阻止
防护项目:文件隐藏配置项
操作类型:修改
数据内容:0x00000000 (0)
目标注册表:HKEY_USERS\S-1-5-21-2358378876-2357486606-955946799-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
操作结果:已阻止
进程ID:4656
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr"
操作进程校验和:658ADB419F3ADAEC3EED4FDABB1265E581AB522E
父进程ID:3024
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr" /S
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【6】2023-10-14 15:27:02,系统防护,系统加固,UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr触犯文件防护规则, 已阻止
防护项目:启动目录
目标文件:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MVPL.lnk
操作结果:已阻止
进程ID:4656
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr"
操作进程校验和:658ADB419F3ADAEC3EED4FDABB1265E581AB522E
父进程ID:3024
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr" /S
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【7】2023-10-14 15:26:59,系统防护,系统加固,UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr触犯敏感动作防护规则, 已阻止
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'MVPL.exe'
操作结果:已阻止
进程ID:4656
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr"
操作进程校验和:658ADB419F3ADAEC3EED4FDABB1265E581AB522E
父进程ID:3024
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr" /S
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【8】2023-10-14 15:26:58,系统防护,系统加固,UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr触犯敏感动作防护规则, 已阻止
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Administrator\AppData\Roaming\MVPL.exe'
操作结果:已阻止
进程ID:4656
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr"
操作进程校验和:658ADB419F3ADAEC3EED4FDABB1265E581AB522E
父进程ID:3024
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr" /S
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【9】2023-10-14 15:26:57,系统防护,系统加固,UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr触犯敏感动作防护规则, 已阻止
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr'
操作结果:已阻止
进程ID:4656
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr"
操作进程校验和:658ADB419F3ADAEC3EED4FDABB1265E581AB522E
父进程ID:3024
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr" /S
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【10】2023-10-14 15:26:55,系统防护,系统加固,UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr触犯敏感动作防护规则, 已阻止
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr'
操作结果:已阻止
进程ID:4656
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr"
操作进程校验和:658ADB419F3ADAEC3EED4FDABB1265E581AB522E
父进程ID:3024
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\UPDATED - SO J228 - Invoice & Packing List #449326830 925 CURTIS TAOSAINT LOUIS.scr" /S
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【11】2023-10-14 15:26:47,病毒防护,WEB扫描,发现病毒Trojan/Generic!231F961C8D85CF54, 已阻止
病毒名称:Trojan/Generic!231F961C8D85CF54
病毒ID:231F961C8D85CF54
病毒URL:http://103.45.162.24:81/dlx.png
操作结果:已阻止
进程ID:9672
操作进程:C:\Windows\Installer\MSI1658.tmp
操作进程命令行:"C:\Windows\Installer\MSI1658.tmp"
操作进程校验和:6902f160dde7ebde42c6c6bfa3360324b23e0b42
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【12】2023-10-14 15:25:20,病毒防护,WEB扫描,发现病毒Trojan/Generic!231F961C8D85CF54, 已阻止
病毒名称:Trojan/Generic!231F961C8D85CF54
病毒ID:231F961C8D85CF54
病毒URL:http://103.45.162.24:81/dlx.png
操作结果:已阻止
进程ID:7544
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\EV录屏-付款闪退录制.com
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\EV录屏-付款闪退录制.com"
操作进程校验和:07c33abcd93573058f45c7fe4c952092e6e53d3b
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【13】2023-10-14 15:24:08,病毒防护,恶意行为监控,发现未知病毒TrojanDropper/MalSetup.FA, 已处理
病毒名称:TrojanDropper/MalSetup.FA
病毒路径:C:\Users\Administrator\AppData\Roaming\3cOBUeZ6B4.exe
操作结果:已处理,删除文件
进程ID:6812
操作进程命令行:"C:\Users\Administrator\AppData\Roaming\3cOBUeZ6B4.exe"
父进程ID:5144
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\2023财会人员薪资补贴调整新政策所需材料.exe
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\2023财会人员薪资补贴调整新政策所需材料.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【14】2023-10-14 15:24:04,病毒防护,WEB扫描,发现病毒Trojan/Generic!228E1A20FABC29E1, 已阻止
病毒名称:Trojan/Generic!228E1A20FABC29E1
病毒ID:228E1A20FABC29E1
病毒URL:http://223.26.52.96:8000/j-16
操作结果:已阻止
进程ID:5144
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\2023财会人员薪资补贴调整新政策所需材料.exe
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\2023财会人员薪资补贴调整新政策所需材料.exe"
操作进程校验和:84401048d6e027ae35c0ac355d195f67c87a6179
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【15】2023-10-14 15:24:01,系统防护,系统加固,GoogleChromeUpdate.exe触犯注册表防护规则, 已阻止
防护项目:系统默认程序
操作类型:修改
数据内容:Counsellor
目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.up\
操作结果:已阻止
进程ID:1568
操作进程:C:\Users\Administrator\AppData\Local\Temp\GoogleChromeUpdate.exe
操作进程命令行:"C:\Users\Administrator\AppData\Local\Temp\GoogleChromeUpdate.exe"
操作进程校验和:DD122EECD36DE5312E2C8CE51775D4BDC1B3941C
父进程ID:9512
父进程:C:\Windows\System32\cmd.exe
父进程命令行:C:\Windows\system32\cmd.exe /c ""C:\Users\Administrator\AppData\Local\Temp\tmp6AA0.tmp.bat" "
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【16】2023-10-14 15:23:52,病毒防护,恶意行为监控,发现未知病毒TrojanDropper/MalSetup.FA, 已处理
病毒名称:TrojanDropper/MalSetup.FA
病毒路径:C:\Users\Public\Downloads\s9otsAL4\2Bnj3Z42.exe
操作结果:已处理,删除文件
进程ID:3444
操作进程命令行:"C:\Users\Public\Downloads\s9otsAL4\2Bnj3Z42.exe"
父进程ID:7824
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\2023-1.exe
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\2023-1.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【17】2023-10-14 15:23:05,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止
防护项目:系统任务目录
目标文件:C:\Windows\System32\Tasks\Micros0ftEdgeUpdateTask0UA Task-S-1-5-18
操作结果:已阻止
进程ID:1956
操作进程:C:\Windows\System32\svchost.exe
操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
操作进程校验和:010DB07461E45B41C886192DF6FD425BA8D42D82
父进程ID:900
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【18】2023-10-14 15:23:03,病毒防护,恶意行为监控,发现未知病毒TrojanDropper/MalSetup.FA, 已处理
病毒名称:TrojanDropper/MalSetup.FA
病毒路径:C:\Users\Administrator\AppData\Roaming\skAepYnSKd.exe
操作结果:已处理,删除文件
进程ID:8024
操作进程命令行:"C:\Users\Administrator\AppData\Roaming\skAepYnSKd.exe"
父进程ID:5508
父进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\01.exe
父进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\01.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【19】2023-10-14 15:22:53,病毒防护,WEB扫描,发现病毒Trojan/Generic!228E1A20FABC29E1, 已阻止
病毒名称:Trojan/Generic!228E1A20FABC29E1
病毒ID:228E1A20FABC29E1
病毒URL:http://223.26.52.96:8000/j-16
操作结果:已阻止
进程ID:5508
操作进程:C:\Users\Administrator\Downloads\infected2023101201\Downloads\01.exe
操作进程命令行:"C:\Users\Administrator\Downloads\infected2023101201\Downloads\01.exe"
操作进程校验和:8a12ad4f9272e08f8e5761838c43bb80ad30e4e2
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> |