收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 RAR.exe
123下一页
返回列表 发新帖
查看: 6297|回复: 22
收起左侧

[病毒样本] RAR.exe

  [复制链接]
fatezero
发表于 2010-11-15 09:34:38 | 显示全部楼层 |阅读模式


RAR.rar
回复

举报

hddu
发表于 2010-11-15 09:56:55 | 显示全部楼层
2010-11-15 09:56:03    创建文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\program files\winzip32\
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*\

2010-11-15 09:56:05    创建文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\program files\winzip32\coopen_setup_100180.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:06    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\WINDOWS\system32\fswf.ico
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.ico

2010-11-15 09:56:06    创建文件      操作:使用任务隔离区操作
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\WINDOWS\system32\tbao.ico
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.ico

2010-11-15 09:56:06    运行应用程序      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\WINDOWS\system32\wscript.exe
命令行:"c:\program files\winzip32\095606120.jse"
触发规则:所有程序规则->系统程序设置->%windir%\system32\*script.exe

2010-11-15 09:56:06    删除注册表      操作:使用任务隔离区操作
进程路径:F:\virus\RAR\RAR.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2010-11-15 09:56:06    删除文件      操作:阻止
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:07    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:F:\CCPMachineInfo.dll
触发规则:所有程序规则->全局设置->?:\*.dll

2010-11-15 09:56:08    创建文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\program files\winzip32\XiaobaiSetup_2.2.1(039).exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:10    创建文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\WINDOWS\winddll.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.dll

2010-11-15 09:56:10    创建文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\WINDOWS\smssrun.jse
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2010-11-15 09:56:10    创建文件      操作:阻止
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\WINDOWS\smssrun.lnk
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.lnk

2010-11-15 09:56:12    创建文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\program files\winzip32\bibibei19.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:13    运行应用程序      操作:允许
进程路径:C:\Program Files\winzip32\XiaobaiSetup_2.2.1(039).exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
命令行:-SF "c:\program files\winzip32\XiaobaiSetup_2.2.1(039).exe"
触发规则:所有程序规则->其它程序设置->*\Temp\*

2010-11-15 09:56:16    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\bibibei19.exe
文件路径:C:\Program Files\比比呗
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2010-11-15 09:56:16    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\bibibei19.exe
文件路径:C:\Program Files\比比呗\bibibei.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll

2010-11-15 09:56:19    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\bibibei19.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\比比呗
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\*

2010-11-15 09:56:20    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\bibibei19.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\比比呗\比比呗官方网站.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\*.lnk

2010-11-15 09:56:22    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\bibibei19.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\比比呗\卸载.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\*.lnk

2010-11-15 09:56:22    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:23    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\bibibei19.exe
文件路径:C:\Program Files\比比呗\卸载.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:26    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:26    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:26    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:26    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:26    删除注册表      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:coopen
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2010-11-15 09:56:27    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:28    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:28    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:29    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2010-11-15 09:56:29    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:30    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:30    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen\Coopen.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:31    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:31    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:31    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*Internet*Explorer*

2010-11-15 09:56:31    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen\CoopenAir.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:31    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen\CoopenMainManager.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll

2010-11-15 09:56:31    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen\CoopenActiveControl109.dll
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.dll

2010-11-15 09:56:31    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen\Coopen.scr
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.scr

2010-11-15 09:56:32    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:32    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:33    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\Coopen
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\*

2010-11-15 09:56:34    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\Coopen\Coopen播放器.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\*.lnk

2010-11-15 09:56:35    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\淘宝热卖.ytb
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\*

2010-11-15 09:56:36    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:36    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:36    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Program Files\Coopen\uninst.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2010-11-15 09:56:37    创建文件      操作:使用任务隔离区操作
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Coopen播放器.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\程序\启动\*.lnk

2010-11-15 09:56:37    创建注册表值      操作:阻止
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
注册表路径:HKEY_CURRENT_USER\Control Panel\Desktop
注册表名称:SCRNSAVE.EXE
触发规则:所有程序规则->自动运行->*\Control Panel\Desktop

2010-11-15 09:56:38    创建文件      操作:允许
进程路径:C:\Program Files\winzip32\coopen_setup_100180.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Coopen.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\桌面\*.lnk

2010-11-15 09:56:39    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\小游戏.ysw
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\*菜单\*

2010-11-15 09:56:39    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:40    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:40    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2010-11-15 09:56:40    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2010-11-15 09:56:40    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.yie
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2010-11-15 09:56:41    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:41    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:42    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝热卖.ytb
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-11-15 09:56:42    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝热卖.ytb
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-11-15 09:56:42    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝热卖.ytb
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-11-15 09:56:42    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:42    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:44    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\小游戏.ysw
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-11-15 09:56:44    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\小游戏.ysw
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-11-15 09:56:44    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\小游戏.ysw
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2010-11-15 09:56:44    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:44    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:45    创建文件      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Internet Explorer.yei
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->?:\Documents and Settings\*\*菜单\程序\启动\*

2010-11-15 09:56:45    创建文件      操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Internet Explorer.yei
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->?:\Documents and Settings\*\*菜单\程序\启动\*

2010-11-15 09:56:46    删除文件      操作:允许
进程路径:F:\virus\RAR\RAR.EXE
文件路径:C:\Documents and Settings\Administrator\桌面\Coopen.lnk
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\桌面\*.lnk

2010-11-15 09:56:46    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:48    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 INTERNET EXPLORER 浏览器.IEX
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2010-11-15 09:56:48    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 INTERNET EXPLORER 浏览器.IEX
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2010-11-15 09:56:48    创建文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 INTERNET EXPLORER 浏览器.IEX
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2010-11-15 09:56:48    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Templates\tmp.tmp
触发规则:所有程序规则->Documents and Settings设置(二)->?:\Documents and Settings\*\Templates\*

2010-11-15 09:56:49    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置(一)->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2010-11-15 09:56:49    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\explorer.exe:2075721756.jse
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2010-11-15 09:56:49    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\smss.exe:2075721756.jse
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2010-11-15 09:56:50    创建文件      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
文件路径:C:\WINDOWS\system\SVCHOST.EXE
触发规则:应用程序规则->WINDOWS文件设置->%windir%\*->*\*.exe

2010-11-15 09:57:02    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\explorer.exe
触发规则:应用程序规则->系统程序->%windir%\system32\winlogon.exe->%windir%\*.exe

2010-11-15 09:57:02    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\\WINDOWS\system32\dllcache\explorer.exe
触发规则:应用程序规则->系统程序->%windir%\system32\winlogon.exe->%windir%\*.exe

2010-11-15 09:57:02    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\smss.exe
触发规则:应用程序规则->系统程序->%windir%\system32\winlogon.exe->%windir%\*.exe

2010-11-15 09:57:02    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\winlogon.exe
文件路径:C:\WINDOWS\system32\dllcache\\WINDOWS\system32\dllcache\smss.exe
触发规则:应用程序规则->系统程序->%windir%\system32\winlogon.exe->%windir%\*.exe

2010-11-15 09:57:31    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XiaobaiFs\Config
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:33    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:34    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:35    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:ShadowRoot
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:37    删除注册表      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:ShadowRoot.New
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:39    删除注册表      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:ShadowRoot.Switch
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:40    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:Windows
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:41    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:Users
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:42    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:ProgramFiles
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:44    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:ProgramData
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:45    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:Documents
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:46    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:Desktop
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:47    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Config
注册表名称:Temp
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:48    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"D:\Xiaobai\Bin" /T /E /C /G everyone:F
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2010-11-15 09:57:48    运行应用程序      操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"D:\Xiaobai\Shadow" /T /E /C /G everyone:F
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2010-11-15 09:57:48    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
文件路径:C:\WINDOWS\system32\Drivers\XiaobaiFsForXp.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys

2010-11-15 09:57:48    安装服务或者驱动      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\DRIVERS\XiaobaiFsForXp.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys

2010-11-15 09:57:49    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Instances
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:50    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Instances
注册表名称:DefaultInstance
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:51    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Instances\XiaobaiFs - Top Instance
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:54    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Program Files\Internet Explorer\IEXPLORE.EXE
命令行: -nohome
触发规则:所有程序规则->非系统进程操作 ->%ProgramFiles%\Internet Explorer\iexplore.exe

2010-11-15 09:57:57    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Instances\XiaobaiFs - Top Instance
注册表名称:Altitude
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:57:59    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiFs\Instances\XiaobaiFs - Top Instance
注册表名称:Flags
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:58:00    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\System\XiaobaiFs
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:58:02    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\XiaobaiFs
注册表名称:EventMessageFile
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:58:03    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\XiaobaiFs
注册表名称:TypesSupported
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:58:03    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\DRIVERS\XiaobaiFsForXp.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys

2010-11-15 09:58:08    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XiaobaiSvc\Parameters
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2010-11-15 09:58:09    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~XB_SETUP_0026B304\XiaobaiSetup.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XiaobaiSvc\Parameters
注册表名称:ServiceDll
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*\Parameters

回复

举报

post8
头像被屏蔽
发表于 2010-11-15 10:03:38 | 显示全部楼层
submit to avira
回复

举报

Ricty
发表于 2010-11-15 10:14:40 | 显示全部楼层
本帖最后由 Ricty 于 2010-11-15 10:20 编辑

"*\RAR\RAR.EXE";"发现病毒 JS/Psyme.dropper";"已移至病毒库"
AVG kill
金山卫士 miss
to 金山
上报号:643742a2afc14f992a2d1e8211f582a7
回复

举报

留侯
发表于 2010-11-15 14:08:30 | 显示全部楼层
大蜘蛛:rar\rar.exe - infected with Trojan.DownLoader.origin
这是非特征风险运算法则作出的病毒判断。
回复

举报

chenjihehe1
发表于 2010-11-15 14:19:03 | 显示全部楼层
qvm 报
回复

举报

xukai3100
发表于 2010-11-15 14:25:12 | 显示全部楼层
回复 6楼 chenjihehe1 的帖子

是360sd2.0吗?!为什么我的不会报啊
回复

举报

chenjihehe1
发表于 2010-11-15 14:29:02 | 显示全部楼层
回复 7楼 xukai3100 的帖子

报的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

xukai3100
发表于 2010-11-15 14:32:09 | 显示全部楼层
回复 8楼 chenjihehe1 的帖子

估计是我没解压造成的,谢谢
回复

举报

猪头大队
头像被屏蔽
发表于 2010-11-15 14:39:13 | 显示全部楼层
过VSE,

PS,希望260网盾能有个2次检测
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-10 04:07 , Processed in 0.116088 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表