收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 來自朋友的MSN程序.....
12下一页
返回列表 发新帖
查看: 3133|回复: 10
收起左侧

[病毒样本] 來自朋友的MSN程序.....

[复制链接]
sam.to
发表于 2008-7-21 23:54:37 | 显示全部楼层 |阅读模式
http://www.virustotal.com/zh-tw/ ... 782da02932c80c40f83

檔案 L365.exe 接收於 2008.07.21 17:44:12 (CET)
當前狀態: 完成
結果: 5/34 (14.71%)
格式化文字 格式化文字
列印結果 列印結果
反病毒引擎         版本         最後更新         掃瞄結果
AhnLab-V3         2008.7.21.1         2008.07.21         -
AntiVir         7.8.1.11         2008.07.21         -
Authentium         5.1.0.4         2008.07.20         -
Avast         4.8.1195.0         2008.07.20         -
AVG         8.0.0.130         2008.07.21         -
BitDefender         7.2         2008.07.21         -
CAT-QuickHeal         9.50         2008.07.18         -
ClamAV         0.93.1         2008.07.21         -
DrWeb         4.44.0.09170         2008.07.21         -
eSafe         7.0.17.0         2008.07.21         SuspiciousR-Mytob3
eTrust-Vet         31.6.5971         2008.07.21         -
Ewido         4.0         2008.07.21         -
F-Prot         4.4.4.56         2008.07.20         -
F-Secure         7.60.13501.0         2008.07.21         -
Fortinet         3.14.0.0         2008.07.21         -
GData         2.0.7306.1023         2008.07.21         -
Ikarus         T3.1.1.34.0         2008.07.21         -
Kaspersky         7.0.0.125         2008.07.21         -
McAfee         5342         2008.07.18         -
Microsoft         1.3704         2008.07.21         -
NOD32v2         3284         2008.07.21         -
Norman         5.80.02         2008.07.21         -
Panda         9.0.0.4         2008.07.20         -
PCTools         4.4.2.0         2008.07.21         Packed/MoleBox
Prevx1         V2         2008.07.21         -
Rising         20.54.02.00         2008.07.21         -
Sophos         4.31.0         2008.07.21         Mal/Behav-181
Sunbelt         3.1.1536.1         2008.07.18         -
Symantec         10         2008.07.21         -
TheHacker         6.2.96.385         2008.07.20         -
TrendMicro         8.700.0.1004         2008.07.21         -
VBA32         3.12.8.1         2008.07.21         -
VirusBuster         4.5.11.0         2008.07.21         Packed/MoleBox
Webwasher-Gateway         6.6.2         2008.07.21         Win32.Malware.gen (suspicious)
附加訊息

沒有簽署,不像是來自Microsoft的


password:
infected
http://210.0.141.101/myoffice/ha ... Fsa21084%2FL365.rar

我不打算上报卡巴.
回复

举报

Palkia
发表于 2008-7-21 23:55:58 | 显示全部楼层
是我也不会上报啦~这么大~卡巴还要E~
回复

举报

sam.to
 楼主| 发表于 2008-7-21 23:57:58 | 显示全部楼层

回复 2楼 tvuser2007 的帖子

还要E????
不明白
回复

举报

Anycall-D908
发表于 2008-7-21 23:59:39 | 显示全部楼层
我晕...14M啊~哥哥仔.叫我点敢下载波
回复

举报

Palkia
发表于 2008-7-22 00:00:11 | 显示全部楼层

回复 3楼 kato9096 的帖子

E-MAIL~


to 楼上

用工具下~不慢~

PS:用国语~

[ 本帖最后由 tvuser2007 于 2008-7-22 00:01 编辑 ]
回复

举报

sam.to
 楼主| 发表于 2008-7-22 00:19:59 | 显示全部楼层
原帖由 Anycall-D908 于 2008-7-21 23:59 发表
我晕...14M啊~哥哥仔.叫我点敢下载波


我不想的 慢慢下載吧
原帖由 tvuser2007 于 2008-7-22 00:00 发表
E-MAIL~


to 楼上

用工具下~不慢~

PS:用国语~

卡巴最高接受10M,超过10MB的話,可給下載地址
回复

举报

zero0
发表于 2008-7-22 00:35:04 | 显示全部楼层
红伞和蜘蛛都没检测出什么,EQ也没检测到什么有问题的动作呀
回复

举报

yjwfdc
头像被屏蔽
发表于 2008-7-22 00:47:06 | 显示全部楼层
原帖由 Anycall-D908 于 2008-7-21 23:59 发表
我晕...14M啊~哥哥仔.叫我点敢下载波

你系咪靓女尼咖,讲野咁乸。

你唔试,我来试。丨
回复

举报

yjwfdc
头像被屏蔽
发表于 2008-7-22 01:01:52 | 显示全部楼层
2008-07-22 00:38:32    应用程序保护已经开启.

2008-07-22 00:38:32    注册表保护已经开启.

2008-07-22 00:38:32    文件保护已经开启.

2008-07-22 00:50:03    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@9C@3E31B8.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:50:08    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:09    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:10    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:11    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC
注册表名称:LogSessionName
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:11    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC
注册表名称:Active
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:13    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC
注册表名称:ControlFlags
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:14    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC\MccPerfTraceProvider
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:16    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC\MccPerfTraceProvider
注册表名称:Guid
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:19    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\MSN\MCC\MccPerfTraceProvider
注册表名称:BitNames
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:24    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@9C@3E3178.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:50:30    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:31    删除注册表      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:IntroShownCount
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:33    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:LastAppVersion
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:34    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@9C@3E3168.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:50:36    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@9C@3E30B8.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:50:38    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:39    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:40    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:41    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:UpAndRunning
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:41    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\MSNMessenger
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:42    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\Schemes\Apps\MSNMSGR
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:43    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_ContactOnline
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:43    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_NewAlert
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:44    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_NewMail
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:45    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_NewMessage
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:45    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_NewSMSMessage
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:46    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_Buzz
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:47    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_PhoneRing
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:47    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\AppEvents\EventLabels\MSNMSGR_VoiceIMFinished
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:58    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:msnmsgr
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:50:58    删除注册表      操作:允许
进程路径:C:\WINDOWS\system32\ctfmon.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:internat.exe
触发规则:应用程序规则->系统程序-低-->C:\WINDOWS\system32\ctfmon.exe->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2008-07-22 00:51:00    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\MSN Messenger
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:01    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Identities\{EE8757CD-0F30-480C-86C7-22A6445D8B4D}\Software\Microsoft\Outlook Express\5.0\Rules
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:02    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Identities\{EE8757CD-0F30-480C-86C7-22A6445D8B4D}\Software\Microsoft\Outlook Express\5.0\Rules
注册表名称:Messenger Auto logon
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:02    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Identities\{EE8757CD-0F30-480C-86C7-22A6445D8B4D}\Software\Microsoft\Outlook Express\5.0\Rules
注册表名称:MessengerWuzHere
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:03    修改注册表内容      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:UpAndRunning
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:04    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\IdentityCRL
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:04    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityCRL
注册表名称:RemoteFile
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:16    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:17    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:19    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:29    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\CryptnetUrlCache\MetaData\E6024EAC88E6B6165D49FE3C95ADD735
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:30    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\CryptnetUrlCache\Content\E6024EAC88E6B6165D49FE3C95ADD735
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:32    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Dynamic Salt
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:33    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Dynamic Salt
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:33    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Dynamic Salt
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:34    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Dynamic Salt
注册表名称:Value
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:35    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Dynamic Salt
注册表名称:Size
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:38    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\microsoft\IdentityCRL
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:38    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\microsoft\IdentityCRL\temp
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:39    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:40    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:40    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:D:\My Documents\Cookies\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:41    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:D:\My Documents\Cookies\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:42    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:43    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:44    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:45    删除注册表      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyServer
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:46    删除注册表      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyOverride
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:47    删除注册表      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:AutoConfigURL
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:48    修改注册表内容      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:51:51    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\microsoft\IdentityCRL\ppcrlconfig.dll
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:53    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:51:53    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:52:00    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL
注册表名称:ConfigMajorVersion
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:52:01    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL
注册表名称:ConfigMinorVersion
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:52:01    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL
注册表名称:LastUpdateTime
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:52:02    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:52:03    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\PerPassportSettings
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:52:05    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:MainFrameHidden
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:52:06    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:FirstTimeUser
触发规则:应用程序规则->----低------>d:\2\*
回复

举报

yjwfdc
头像被屏蔽
发表于 2008-7-22 01:02:18 | 显示全部楼层
2008-07-22 00:52:54    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\PerPassportSettings\3132271944
注册表名称:[Key]
触发规则:应用程序规则->----低------>d:\2\*
2008-07-22 00:52:56    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\PerPassportSettings\3132271944
注册表名称:DefaultSignInState
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:53:02    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:04    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:05    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:09    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:13    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:14    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:16    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:17    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:18    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:19    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:20    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500\221186755ca2fd4045714a6a85085137_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:21    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:23    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:24    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:25    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:26    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:26    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500\221186755ca2fd4045714a6a85085137_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:27    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:31    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@9C@3E3128.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:32    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\MSN Messenger\3132271944
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:33    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\MSN Messenger\3132271944\sqmnoopt00.sqm
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:34    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\MSN Messenger\3132271944\sqmdata00.sqm
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:53:37    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:DataCollectionSampledOutTime
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:53:38    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:DataCollectionSampledOut
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:54:30    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:AlwaysOnTop
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:54:31    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:MainWindowRect
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:54:32    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:WindowMax
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:54:41    修改注册表内容      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:UpAndRunning
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:54:43    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:44    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:45    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:45    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:46    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:46    修改文件      操作:阻止
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500\221186755ca2fd4045714a6a85085137_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:46    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500\221186755ca2fd4045714a6a85085137_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:47    删除文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-1202660629-500\221186755ca2fd4045714a6a85085137_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:54:57    运行应用程序      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:01    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:03    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:04    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:05    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:06    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:06    修改其它进程内存      操作:阻止
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:06    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:07    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:08    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:09    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:10    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:14    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@378@3E31B8.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:15    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@378@3E3178.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:15    创建文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@378@3E3168.###
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:17    修改注册表内容      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:UpAndRunning
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:55:18    修改注册表内容      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:UpAndRunning
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:55:24    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:25    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:25    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:26    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:27    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:27    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:D:\My Documents\Cookies\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:28    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:D:\My Documents\Cookies\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:29    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:29    修改文件      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
触发规则:应用程序规则->-----低------>d:\2\*

2008-07-22 00:55:30    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\PerPassportSettings
注册表名称:DefaultIdentityMigrated
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:55:40    创建注册表值      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
注册表名称:DSBkgndMode
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:55:42    修改注册表内容      操作:允许
进程路径:D:\2\infectedL365\L365.exe
注册表路径:HKEY_CURRENT_USER\Software\IM Providers\MSN Messenger
注册表名称:UpAndRunning
触发规则:应用程序规则->----低------>d:\2\*

2008-07-22 00:55:46    运行应用程序      操作:允许
进程路径:D:\2\infectedL365\L365.exe
文件路径:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:46    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:47    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:48    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:49    修改其它进程内存      操作:允许
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:49    修改其它进程内存      操作:阻止
进程路径:D:\2\infectedL365\L365.exe
目标进程:D:\2\infectedL365\L365.exe
触发规则:应用程序规则->----------低--------->d:\2\*

2008-07-22 00:55:55    创建文件      操作:阻止
进程路径:D:\2\infectedL365\L365.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\MBX@3CC@3E31B8.###
触发规则:应用程序规则->-----低------>d:\2\*
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-30 06:06 , Processed in 0.084052 second(s), 2 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表