过很多。30/2 样本确定为下载器但求行为

显示全部楼层 · 发表于 2011-1-5 21:46:20

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: I:\virus
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:\WINDOWS
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: H:\Local Settings\Temporary Internet Files
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 读文件阻止
进程: i:\virus\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-01-05 21:42:32 读文件阻止
进程: i:\virus\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-01-05 21:42:32 读文件阻止
进程: i:\virus\run.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 读文件阻止
进程: i:\virus\run.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-01-05 21:42:32 读文件阻止
进程: i:\virus\run.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 21:42:32 读文件阻止
进程: i:\virus\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [注册表]*

2011-01-05 21:42:32 删除注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [注册表]*

2011-01-05 21:42:32 删除注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [注册表]*

2011-01-05 21:42:32 删除注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 3c 00 00 00 e8 05 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 10 9b cf 3b 3c 90 cb 01 01 00 00 00 c0 a8 01 02 00 00 00 00 00 00 00 00
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 21:42:32 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: H:
规则: [文件]*

2011-01-05 21:42:32 读文件夹阻止
进程: i:\virus\run.exe
目标: C:
规则: [文件]*

2011-01-05 21:42:35 访问网络阻止
进程: i:\virus\run.exe
目标: TCP [本机 : 4054] -> [61.191.190.130 : 808]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-01-05 21:42:35 修改注册表值阻止
进程: i:\virus\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

显示全部楼层 · 发表于 2011-1-5 22:18:28

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: H:\Local Settings\Temporary Internet Files
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\Administrator\Local Settings\History
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 修改文件阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 22:14:53 修改文件阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 22:14:53 修改文件阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

2011-01-05 22:14:53 修改文件阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 22:14:53 修改文件阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序]* -> [文件]\device\namedpipe\*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [注册表]*

2011-01-05 22:14:53 删除注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [注册表]*

2011-01-05 22:14:53 删除注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [注册表]*

2011-01-05 22:14:53 删除注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
值: 3c 00 00 00 eb 05 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 10 9b cf 3b 3c 90 cb 01 01 00 00 00 c0 a8 01 02 00 00 00 00 00 00 00 00
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory
值: H:\Local Settings\Temporary Internet Files\Content.IE5
规则: [注册表]*

2011-01-05 22:14:53 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit
值: 0x00009f55(40789)
规则: [注册表]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: H:
规则: [文件]*

2011-01-05 22:14:53 读文件夹阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: C:
规则: [文件]*

2011-01-05 22:14:54 访问网络阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: TCP [本机 : 3665] -> [61.191.190.130 : 808]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-01-05 22:14:54 修改注册表值阻止
进程: c:\documents and settings\administrator\桌面\run.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders*

显示全部楼层 · 发表于 2011-1-5 22:46:14

KIS拦截了

显示全部楼层 · 发表于 2011-1-5 23:53:19

已上報趨勢嚕~

显示全部楼层 · 发表于 2011-1-6 12:48:09

显示全部楼层 · 发表于 2011-1-7 10:18:42

360QVM & SHIELD KILLED 3X

显示全部楼层 · 发表于 2011-1-7 20:08:12

2011-1-7 20:05:27 修改注册表值阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Locked
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Internet explorer\Toolbar

2011-1-7 20:05:31 创建注册表项阻止
进程: c:\windows\system32\mshta.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-7 20:05:33 创建注册表项阻止
进程: c:\windows\system32\mshta.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-7 20:05:34 修改注册表值阻止
进程: c:\windows\system32\mshta.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
值: http://www.idbjv.info
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Internet explorer\Main; Start Page

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\hao123网址之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\2345网址大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\小游戏大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\随机视频聊天.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\单机游戏之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\★淘宝网特卖会.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\黄瓜电影网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\当当网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\异性交友中心.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\彩票中奖查询.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\hao123网址之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\2345网址大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\小游戏大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\随机视频聊天.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\单机游戏之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\★淘宝网特卖会.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\黄瓜电影网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\当当网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\异性交友中心.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\彩票中奖查询.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 删除文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [文件组]系统文件加强型保护(防修改) -> [文件]*; *internet explorer*.lnk

2011-1-7 20:05:35 修改注册表值阻止并结束进程
进程: c:\windows\system32\mshta.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
值: Explorer.exe D:\VVolume
规则: [注册表组]注册表启动项保护(结束进程) -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Shell

2011-1-7 20:05:35 修改注册表值阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\NOTEPAD.EXE
值: 记事本
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2011-1-7 20:05:27 修改注册表值阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Locked
值: 0x00000001(1)
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Internet explorer\Toolbar

2011-1-7 20:05:31 创建注册表项阻止
进程: c:\windows\system32\mshta.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-7 20:05:33 创建注册表项阻止
进程: c:\windows\system32\mshta.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-7 20:05:34 修改注册表值阻止
进程: c:\windows\system32\mshta.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
值: http://www.idbjv.info
规则: [注册表组]IE浏览器设置保护(询问) -> [注册表]*\SOFTWARE\Microsoft\Internet explorer\Main; Start Page

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\hao123网址之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\2345网址大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\小游戏大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\随机视频聊天.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\单机游戏之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\★淘宝网特卖会.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\黄瓜电影网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\当当网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\异性交友中心.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\彩票中奖查询.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\hao123网址之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\2345网址大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\小游戏大全.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\随机视频聊天.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\单机游戏之家.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\★淘宝网特卖会.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\黄瓜电影网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\当当网.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\异性交友中心.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 创建文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Favorites\链接\彩票中奖查询.url
规则: [文件组]系统文件夹写保护(阻止创建) -> [文件]*\favorites\*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 底层键盘操作阻止
进程: c:\windows\system32\mshta.exe
规则: [应用程序]*

2011-1-7 20:05:34 删除文件阻止
进程: c:\windows\system32\mshta.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [文件组]系统文件加强型保护(防修改) -> [文件]*; *internet explorer*.lnk

2011-1-7 20:05:35 修改注册表值阻止并结束进程
进程: c:\windows\system32\mshta.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
值: Explorer.exe D:\VVolume
规则: [注册表组]注册表启动项保护(结束进程) -> [注册表]*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon; Shell

2011-1-7 20:05:35 修改注册表值阻止
进程: c:\program files\internet explorer\iexplore.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\NOTEPAD.EXE
值: 记事本
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

显示全部楼层 · 发表于 2011-1-8 20:10:19

围观下，看看咱两样本貌似相似的很
http://bbs.kafan.cn/thread-880524-1-1.html

显示全部楼层 · 发表于 2011-1-9 00:04:02

回复 18楼 hujiwa 的帖子

同人作品

显示全部楼层 · 发表于 2011-1-9 09:25:03

File ID Filename Size (Byte) Result
26014818 06.dll 136.8 KB CLEAN

[病毒样本] 过很多。30/2 样本确定为下载器但求行为

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块

[病毒样本] 过很多。30/2 样本 确定为下载器 但求行为

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块

[病毒样本] 过很多。30/2 样本确定为下载器但求行为