收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 磁碟机
12345下一页
返回列表 发新帖
楼主: dgyxq
 收起左侧

[病毒样本] 磁碟机

  [复制链接]
schumi小粉
发表于 2010-11-19 12:10:24 | 显示全部楼层
咖啡 kills



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wmcxdb
发表于 2010-11-19 12:29:05 | 显示全部楼层
dgyxq 发表于 2010-11-18 23:02
貌似没有看到它创建了rar.exe和cmd.exe啊。如果反复尝试各种杀毒程序后,进程里会出现N个rar.exe和cmd.ex ...

2010-11-19 12:16:47    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: F:\pagefile.exe
规则: [文件组]文件保护 -> [文件]?:\

2010-11-19 12:16:47    创建新进程    允许
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c del /F /Q "f:\pagefile.exe"
规则: [应用程序]f:\下载\磁碟机\pagefile.pif -> [子应用程序]c:\windows\system32\cmd.exe

2010-11-19 12:16:47    向其他进程发送消息    允许
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\explorer.exe
消息: WM_QUERYENDSESSION
规则: [应用程序]f:\下载\磁碟机\pagefile.pif -> [目标应用程序]c:\windows\explorer.exe

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
规则: [注册表]*

2010-11-19 12:16:49    创建新进程    允许
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c echo ok
规则: [应用程序]f:\下载\磁碟机\pagefile.pif -> [子应用程序]c:\windows\system32\cmd.exe

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
值: 0x00000000(0)
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
规则: [注册表组]注册表保护 -> [注册表]*\SYSTEM\*ControlSet*\Control\SafeBoot\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
值: 0x00000091(145)
规则: [注册表组]注册表保护 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type
值: radio
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2010-11-19 12:16:49    挂起其他进程的线程    阻止
进程: c:\windows\system32\dwwin.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]cx系统

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\db\Local Settings\Temporary Internet Files
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\db\Cookies
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\db\Local Settings\History
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ceb75210-7081-11de-a8c7-806d6172696f}\BaseClass
值: Drive
规则: [注册表]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表]*

2010-11-19 12:16:49    创建新进程    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g db:F
规则: [应用程序]*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表]*

2010-11-19 12:16:49    创建新进程    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" C:\WINDOWS\system32\com /e /t /g Everyone:F
规则: [应用程序]*

2010-11-19 12:16:49    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\WINDOWS\system32\00302.log
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-19 12:16:49    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\NetApi000.sys
规则: [文件组]文件保护 -> [文件]?:\

2010-11-19 12:16:49    加载驱动程序    阻止
进程: c:\windows\system32\services.exe
目标: c:\netapi000.sys
规则: [应用程序组]cx系统

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EQService\Enum
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EQService\Security
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EQService
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
规则: [注册表组]注册表保护 -> [注册表]*\Software\Policies\*

2010-11-19 12:16:49    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\WINDOWS\system32\com\smss.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-19 12:16:49    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\WINDOWS\system32\com\netcfg.000
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\system32\com\netcfg.000 !\??\C:\WINDOWS\system32\com\netcfg.dll
规则: [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Control\Session Manager\*

2010-11-19 12:16:49    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\regsvr32.exe
值: Microsoft(C) Register Server
规则: [注册表]*

2010-11-19 12:16:49    创建新进程    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\WINDOWS\system32\regsvr32.exe" C:\WINDOWS\system32\com\netcfg.dll /s
规则: [应用程序]*

2010-11-19 12:16:49    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\WINDOWS\system32\com\lsass.exe
规则: [文件组]文件保护 -> [文件]c:\windows\system32\*

2010-11-19 12:16:49    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\lsass.exe.77203.exe
规则: [文件组]文件保护 -> [文件]?:\

2010-11-19 12:16:51    调试其他进程    阻止
进程: c:\windows\system32\drwtsn32.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]cx系统

2010-11-19 12:16:51    向其他进程发送消息    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\csrss.exe
消息: WM_ENDSESSION
规则: [应用程序]*

2010-11-19 12:16:52    创建新进程    允许
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\explorer.exe
命令行: explorer.exe
规则: [应用程序]f:\下载\磁碟机\pagefile.pif -> [子应用程序]c:\windows\explorer.exe

2010-11-19 12:16:52    创建文件    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: C:\lsass.exe.81531.exe
规则: [文件组]文件保护 -> [文件]?:\

2010-11-19 12:16:52    向其他进程发送消息    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\csrss.exe
消息: 0x0019
规则: [应用程序]*
2010-11-19 12:17:32    删除注册表项    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW
规则: [注册表]*

2010-11-19 12:17:32    删除注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
规则: [注册表]*

2010-11-19 12:17:32    修改注册表值    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
值:
规则: [注册表]*

2010-11-19 12:17:32    创建新进程    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\dwwin.exe
命令行: C:\WINDOWS\system32\dwwin.exe -x -s 704
规则: [应用程序]*

2010-11-19 12:17:32    创建新进程    阻止
进程: f:\下载\磁碟机\pagefile.pif
目标: c:\windows\system32\drwtsn32.exe
命令行: C:\WINDOWS\system32\drwtsn32 -p 2236 -e 648 -g
规则: [应用程序]*
回复

举报

liulangzhecgr
发表于 2010-11-19 12:41:28 | 显示全部楼层



2010-11-19 11:55:37    运行应用程序      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\explorer.exe
文件路径:E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:38    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:E:\pagefile.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:38    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\E\pagefile.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:39    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\E\pagefile.exe

2010-11-19 11:55:40    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del /F /Q "e:\pagefile.exe"

2010-11-19 11:55:41    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:41    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:41    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c echo ok

2010-11-19 11:55:42    修改注册表内容      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:42    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:53    创建注册表值      操作:阻止
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注册表名称:SandBoxKeyDelete
触发规则:高优先规则->A01…保护的注册表->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*

2010-11-19 11:55:53    修改注册表内容      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoDriveTypeAutoRun
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:53    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoDriveTypeAutoRun
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:53    修改注册表内容      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:Type
更改后:radio
更改前:checkbox
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:55:53    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:Type
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:09    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
注册表名称:C:\WINDOWS\system32\cacls.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:09    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
注册表名称:C:\WINDOWS\system32\cacls.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:09    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\com /e /t /g Administrator:F

2010-11-19 11:56:09    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:C:\WINDOWS\system32\com /e /t /g Everyone:F

2010-11-19 11:56:09    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\00302.log
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:09    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\00302.log
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:09    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\NetApi000.sys
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\NetApi000.sys
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:09    修改文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:(隐藏文件)C:\EQSandBox\C\NetApi000.sys
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:13    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cacls.exe
文件路径:C:\WINDOWS\system32\Com
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-19 11:56:16    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetApi000
注册表名称:[Key]
触发规则:所有程序规则->A08…询问并且阻止所有->*

2010-11-19 11:56:16    删除文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\NetApi000.sys
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:16    删除文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\00302.log
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    删除注册表      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
注册表名称:[Key]
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
注册表名称:SandBoxKeyDelete
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\com\smss.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\com\netcfg.000
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\com\netcfg.dll
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
注册表名称:C:\WINDOWS\system32\regsvr32.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建注册表值      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
注册表名称:C:\WINDOWS\system32\regsvr32.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:C:\WINDOWS\system32\com\netcfg.dll /s

2010-11-19 11:56:17    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\WINDOWS\system32\com\lsass.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:17    创建文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\com\lsass.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:18    运行应用程序      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:C:\EQSandBox\C\WINDOWS\system32\com\lsass.exe

2010-11-19 11:56:18    修改文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:(隐藏文件)C:\EQSandBox\C\WINDOWS\system32\com\lsass.exe
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:18    修改文件      操作:使用任务隔离区操作
进程路径:E:\virus test\磁碟机\pagefile.pif
文件路径:(隐藏文件)E:\virus test\磁碟机\pagefile.pif
触发规则:应用程序规则->任务隔离区->E:\virus test\磁碟机\pagefile.pif

2010-11-19 11:56:18    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\cacls.exe
文件路径:C:\WINDOWS\system32\Com
触发规则:所有程序规则->A01…FD全局询问否定组->?:\*

2010-11-19 11:56:22    结束/挂起进程      操作:阻止
进程路径:C:\EQSandBox\C\WINDOWS\system32\com\lsass.exe
目标进程:C:\Program Files\Internet Explorer\iexplore.exe
触发规则:所有程序规则->0-virus test->*

2010-11-19 11:56:29    运行应用程序      操作:阻止
进程路径:C:\EQSandBox\C\WINDOWS\system32\com\lsass.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c echo ok
触发规则:所有程序规则->0-virus test->*


系统自动重启。。。
重启后没发生灾难!系统完好无损!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jianfuyindidi
发表于 2010-11-19 18:20:08 | 显示全部楼层
江民2011杀之
回复

举报

黑羽
发表于 2010-11-19 18:34:02 | 显示全部楼层
卡巴拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kalynn84
发表于 2010-11-19 18:37:20 | 显示全部楼层
avast kill
回复

举报

专业路过
发表于 2010-11-19 19:12:02 | 显示全部楼层
MPAV:Virus.Win32.Xorer.b
回复

举报

qbaby
发表于 2010-11-19 21:09:34 | 显示全部楼层
红伞 KILL
回复

举报

hansyu
发表于 2010-11-19 23:24:30 | 显示全部楼层
panda
W32/Xorer.D.worm
回复

举报

yyylll66
发表于 2010-11-20 02:51:21 | 显示全部楼层
行为还是以前磁碟机的行为
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 04:29 , Processed in 0.098178 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表