费尔不报毒，正确？

显示全部楼层 · 发表于 2010-12-17 18:50:57

费尔不报毒，正确？报毒杀软属报壳？

http://www.virustotal.com/file-scan/report.html?id=6ceb87dfd63509cb8b2951f095b2cc35f43dd04b0d3ce9f4d6b615e7994c2af3-1292582346

显示全部楼层 · 发表于 2010-12-17 18:52:59

本帖最后由三生缘石于 2010-12-17 18:59 编辑

eset kill
C:\Users\微亿毫\Desktop\300.rar > RAR > 300.vbs - VBS/Runner.NBB 特洛伊木马
确实病毒，至少生成一堆图标。

显示全部楼层 · 发表于 2010-12-17 19:04:57

avast!
VBS:Agent-CA[Trj]

显示全部楼层 · 发表于 2010-12-17 19:12:36

360 SD Kill

显示全部楼层 · 发表于 2010-12-17 19:13:06

Kaspersky Internet Security 2011，
掃瞄偵測為【Trojan.VBS.Agent.kq】，
已進行隔離/刪除動作。

掃瞄偵測到1個可疑檔案，--個 Kaspersky Cloud，--個啟發，1個特徵碼，一隻病毒一條特徵碼，傻眼，囧rz，
剩餘--個文件MISS，無威脅可疑，已提交至 Kaspersky。

显示全部楼层 · 发表于 2010-12-17 19:16:11

动作太多了....

2010-12-17 19:09:55 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\WINDOWS\System32\WScript.exe" "D:\我的文档\viurs test\300\300.vbs"
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [子应用程序]c:\windows\*

2010-12-17 19:09:58 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:00 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:02 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:03 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:03 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:04 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:05 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:05 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:09 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:10 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:11 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:12 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:13 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:13 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu
值: C:\Documents and Settings\All Users\「开始」菜单
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:14 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs
值: C:\Documents and Settings\All Users\「开始」菜单\程序
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:16 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
值: C:\Documents and Settings\All Users\「开始」菜单\程序\启动
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:17 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:18 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:19 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\PrintHood
值: C:\Documents and Settings\Administrator\PrintHood
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:20 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Templates
值: C:\Documents and Settings\Administrator\Templates
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:21 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Fonts
值: C:\WINDOWS\Fonts
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:22 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\NetHood
值: C:\Documents and Settings\Administrator\NetHood
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:23 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu
值: C:\Documents and Settings\Administrator\「开始」菜单
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:24 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\SendTo
值: C:\Documents and Settings\Administrator\SendTo
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:24 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Recent
值: C:\Documents and Settings\Administrator\Recent
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:25 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
值: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:26 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Favorites
值: d:\我的文档\收藏夹
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:26 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs
值: C:\Documents and Settings\Administrator\「开始」菜单\程序
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:27 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: d:\我的文档
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:28 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:29 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:30 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:31 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:32 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:33 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:10:34 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:35 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:36 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://hao.thehh.info/?u=0
规则: [注册表组]浏览器相关设置 -> [注册表]*\Software\Microsoft\Internet explorer\Main; Start Page

2010-12-17 19:10:36 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\xkd.vbe
规则: [文件组]文件阻止及保护 -> [文件]*; *.vbe

2010-12-17 19:10:37 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:39 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:39 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:40 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:41 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:10:42 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:42 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:43 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\桌面\Internet Explorer.css
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*\桌面\*

2010-12-17 19:10:43 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:44 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:45 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:45 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:46 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:46 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:10:47 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:48 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]资源管理器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2010-12-17 19:10:48 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" +r +s
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:50 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r Administrators
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:51 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r Administrator
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:52 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r users
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:52 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r system
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:53 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r user
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:54 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r "9eyes"
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:54 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css
规则: [文件组]限制写入组 -> [文件]?:\documents and settings\*\「开始」菜单\*

2010-12-17 19:10:55 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" +r +s
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:55 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r Administrators
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:57 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r Administrator
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:58 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r users
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:59 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r system
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:10:59 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r user
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:00 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r "9eyes"
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:01 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" +r +s
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:04 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" /e /c /r Administrators
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:05 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" /e /c /r Administrator
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:06 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" /e /c /r users
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:07 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" /e /c /r system
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:07 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" /e /c /r user
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:08 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css" /e /c /r "9eyes"
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:09 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:09 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:10 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:11 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:12 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:12 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:13 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:13 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\桌面\淘宝商城.snd
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*\桌面\*

2010-12-17 19:11:15 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" +r +s
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:15 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" /e /c /r Administrators
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:16 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" /e /c /r Administrator
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:16 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" /e /c /r users
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:17 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" /e /c /r system
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:17 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" /e /c /r user
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:18 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\淘宝商城.snd" /e /c /r "9eyes"
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:18 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:19 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:19 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:20 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:20 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:21 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:22 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:22 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:23 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:24 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:24 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:25 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:26 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:27 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:27 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\桌面\Internet Explorer.css
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*\桌面\*

2010-12-17 19:11:28 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" +r +s
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:29 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r Administrators
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:30 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r Administrator
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:31 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r users
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:31 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r system
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:32 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r user
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:32 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\桌面\Internet Explorer.css" /e /c /r "9eyes"
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:32 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css
规则: [文件组]限制写入组 -> [文件]?:\documents and settings\*\「开始」菜单\*

2010-12-17 19:11:33 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" +r +s
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:33 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r Administrators
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:34 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r Administrator
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:35 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r users
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:35 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r system
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:36 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r user
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:36 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\cacls.exe
命令行: "C:\WINDOWS\system32\cacls.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.css" /e /c /r "9eyes"
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:11:37 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

显示全部楼层 · 发表于 2010-12-17 19:16:30

2010-12-17 19:11:38 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:39 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:39 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:40 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:40 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:41 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:41 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:42 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:43 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:44 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:44 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:45 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:45 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:46 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:47 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:47 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:48 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:48 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:49 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:49 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:50 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:51 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:51 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:52 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:53 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:11:53 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:56 向其他进程发送消息阻止
进程: f:\program files\tencent\qq\bin\qq.exe
目标: c:\windows\system32\wscript.exe
消息: WM_GETTEXT
规则: [应用程序组]威胁提示Ⅰ -> [应用程序]* -> [目标应用程序]c:\windows\*

2010-12-17 19:11:57 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:11:57 向其他进程发送消息阻止
进程: f:\program files\tencent\qq\bin\qq.exe
目标: f:\program files\thunder network\thunder\program\thunder5.exe
消息: WM_GETTEXT
规则: [应用程序组]聊天程序 -> [应用程序]f:\program files\tencent\qq\bin\qq.exe -> [目标应用程序]f:\program files\thunder network\thunder\program\thunder5.exe

2010-12-17 19:11:57 向其他进程发送消息阻止
进程: f:\program files\tencent\qq\bin\qq.exe
目标: f:\program files\thunder network\thunder\program\thunder5.exe
消息: WM_GETTEXT
规则: [应用程序组]聊天程序 -> [应用程序]f:\program files\tencent\qq\bin\qq.exe -> [目标应用程序]f:\program files\thunder network\thunder\program\thunder5.exe

2010-12-17 19:11:59 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\SetMyIndex.reg
规则: [文件组]系统核心目录Ⅰ -> [文件]c:\windows\*; *.reg

2010-12-17 19:12:00 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\regedit.exe
命令行: "C:\WINDOWS\regedit.exe" /s C:\WINDOWS\SetMyIndex.reg
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:01 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.url
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.url

2010-12-17 19:12:02 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.url
规则: [文件组]Documents and Settings_阻止 -> [文件]?:\documents and settings\*; *.url

2010-12-17 19:12:03 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon
值: 0x00000001(1)
规则: [注册表组]浏览器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*; NoInternetIcon

2010-12-17 19:12:03 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoInternetIcon
值: 0x00000001(1)
规则: [注册表组]浏览器相关设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*; NoInternetIcon

2010-12-17 19:12:04 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\xkd.vbe
规则: [文件组]文件阻止及保护 -> [文件]*; *.vbe

2010-12-17 19:12:04 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:06 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:07 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:08 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:09 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:09 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:10 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:10 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe

2010-12-17 19:12:11 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:12 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:13 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:13 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:14 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:15 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:15 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:16 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:17 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:17 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:18 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:18 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:19 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:19 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:20 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:20 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:21 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:21 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:22 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:22 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:23 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:23 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:23 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:24 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:24 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:25 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:26 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:26 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:26 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:27 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:27 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:28 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:28 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:29 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:29 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:30 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:30 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:31 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:32 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:32 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:33 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:33 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:34 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:34 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:35 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:35 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:36 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:36 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:37 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:38 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:38 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:39 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:39 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:40 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:40 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:41 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:41 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:42 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:42 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:43 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:43 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:44 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:45 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:45 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:46 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:46 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:47 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:47 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:48 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:49 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:53 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:54 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:55 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:55 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:56 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:12:56 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:58 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:58 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:59 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:12:59 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:00 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:00 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:13:01 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:01 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:02 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:02 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:03 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:03 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:04 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:13:04 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:05 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:06 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:06 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:07 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:07 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:08 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:13:09 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:09 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:10 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:11 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:11 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:12 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:12 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\system32\WBEM\Logs\wbemprox.log
规则: [文件组]全局写入询问 -> [文件]c:\windows\*

2010-12-17 19:13:12 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:13 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:14 修改文件阻止
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

2010-12-17 19:13:16 修改文件阻止并结束进程
进程: c:\windows\system32\wscript.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]系统工具 -> [应用程序]c:\windows\system32\wscript.exe -> [文件]\device\namedpipe\*

显示全部楼层 · 发表于 2010-12-17 19:55:34

avast kill

显示全部楼层 · 发表于 2010-12-17 19:58:41

大蜘蛛：300.vbs infected with VBS.Siggen.7401

显示全部楼层 · 发表于 2010-12-17 20:34:09

本帖最后由 zuo 于 2010-12-17 20:37 编辑

日志太多了，就不发了，此毒的动作真是多到恐怖

[病毒样本] 费尔不报毒，正确？

本帖子中包含更多资源

评分