jsn.vbe

显示全部楼层 · 发表于 2011-1-7 18:34:53

http://www.virustotal.com/file-scan/report.html?id=4199a3a03b413bbb165835d14d7c26b43850e6c108d362c0ffbfd54af32dd2f9-1294396272

显示全部楼层 · 发表于 2011-1-7 18:40:13

金山卫士报安全，费尔报病毒。

显示全部楼层 · 发表于 2011-1-7 18:42:48

to kaspersky

显示全部楼层 · 发表于 2011-1-7 18:43:29

2011-01-07 18:40:27 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\luf.vbe
触发规则:所有程序规则->文件创建设置_普通模式->%SystemDrive%\*.vbe

2011-01-07 18:40:28 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-07 18:40:29 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:29 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:29 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:29 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-07 18:40:29 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:29 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:30 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:30 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:30 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:31 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:31 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:31 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:31 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2011-01-07 18:40:31 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:31 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:31 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:36 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\淘宝热卖.dib
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\*

2011-01-07 18:40:36 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\淘宝热卖.dib" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:36 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\淘宝热卖.dib" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:36 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\淘宝热卖.dib" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:38 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\淘宝热卖.dib
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\*菜单\*

2011-01-07 18:40:38 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\淘宝热卖.dib" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:38 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\淘宝热卖.dib" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:38 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\淘宝热卖.dib" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:39 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:39 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden1
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:39 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:40 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CLASSES_ROOT\ttf\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command*

2011-01-07 18:40:40 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-07 18:40:40 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:40 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:40 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:41 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:41 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:41 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:41 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:42 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\「开始」菜单\Internet Explorer.ttf" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:42 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CLASSES_ROOT\dib\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->文件类型关联->HKEY_CLASSES_ROOT\*\command*

2011-01-07 18:40:42 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:42 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:42 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\淘宝网购物.dib" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:42 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\*

2011-01-07 18:40:42 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\attrib.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
触发规则:所有程序规则->系统程序设置->*\attrib.exe

2011-01-07 18:40:42 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:43 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-07 18:40:43 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:43 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden1
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:43 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:45 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoInternetIcon
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

2011-01-07 18:40:45 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:[Key]
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-01-07 18:40:45 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-01-07 18:40:45 修改注册表内容    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
注册表名称:NoInternetIcon
触发规则:所有程序规则->资源管理器->*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

2011-01-07 18:40:46 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-01-07 18:40:46 创建注册表值    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
注册表名称:{871C5380-42A0-1069-A2EA-08002B30309D}
触发规则:所有程序规则->其他重要项->*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons*

2011-01-07 18:40:46 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\luf.vbe
触发规则:所有程序规则->文件创建设置_普通模式->%SystemDrive%\*.vbe

2011-01-07 18:40:47 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:47 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden1
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:47 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-07 18:40:47 模拟键盘鼠标    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wscript.exe
触发规则:应用程序规则->系统程序->%windir%\system32\*script.exe

2011-01-07 18:40:47 模拟键盘鼠标    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wscript.exe
触发规则:应用程序规则->系统程序->%windir%\system32\*script.exe

显示全部楼层 · 发表于 2011-1-7 18:48:22

BitDefender

显示全部楼层 · 发表于 2011-1-7 18:52:54

to eset

显示全部楼层 · 发表于 2011-1-7 19:18:32

过avast和金山卫士

显示全部楼层 · 发表于 2011-1-7 19:26:01

Hello,

jsn.vbe_ - Trojan.VBS.KillAV.ah

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Regards, Kuskov Vladimir
Virus Analyst

显示全部楼层 · 发表于 2011-1-7 19:35:58

2011-1-7 19:34:07 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\uvu.vbe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows; *.*

2011-1-7 19:34:07 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-7 19:34:08 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:08 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-7 19:34:08 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:08 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:08 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:08 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:09 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-7 19:34:09 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:09 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-7 19:34:09 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:09 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:09 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:09 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:10 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-7 19:34:10 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:10 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-7 19:34:10 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:10 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:10 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:10 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:11 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-7 19:34:11 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:11 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-7 19:34:11 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:11 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:11 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:11 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:12 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon
值: 0x00000001(1)
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoInternetIcon

2011-1-7 19:34:12 创建注册表项阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-7 19:34:13 创建注册表项阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
规则: [注册表组]系统关键设置保护(询问) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons

2011-1-7 19:34:13 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoInternetIcon
值: 0x00000001(1)
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoInternetIcon

2011-1-7 19:34:14 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\WINDOWS\uvu.vbe
规则: [文件组]文件安全读写规则(询问创建) -> [文件]c:\windows; *.*

2011-1-7 19:34:14 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:14 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:14 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-7 19:34:14 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-7 19:34:15 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-7 19:34:15 底层键盘操作阻止
进程: c:\windows\system32\wscript.exe
规则: [应用程序]*

2011-1-7 19:34:15 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:15 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:15 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:18 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:18 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:18 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:21 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:21 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:21 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:24 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:24 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:24 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:26 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-7 19:34:26 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:26 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-7 19:34:26 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:26 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:27 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:27 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:27 创建文件阻止
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

2011-1-7 19:34:28 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\attrib.exe
值: Attribute Utility
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:28 创建新进程阻止
进程: c:\windows\system32\wscript.exe
目标: c:\windows\system32\attrib.exe
命令行: "C:\WINDOWS\system32\attrib.exe" "C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝打折.dib" +r +s
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]*\attrib.exe

2011-1-7 19:34:28 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:28 修改注册表值阻止
进程: c:\windows\system32\wscript.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\cacls.exe
值: Control ACLs Program
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache

2011-1-7 19:34:28 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:28 创建新进程阻止
进程: c:\windows\system32\cacls.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序组]所有程序规则-系统程序执行规则 -> [应用程序]* -> [子应用程序]c:\windows\system32\conime.exe

2011-1-7 19:34:30 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:30 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:30 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:33 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:33 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:33 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:36 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\WINDOWS\uvu.vbe \??\C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ivn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:36 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:36 修改注册表值阻止
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\jsn\jsn.vbe
规则: [注册表组]系统关键设置保护(阻止) -> [注册表]*\SYSTEM\*ControlSet*\Control\Session Manager; *FileRenameOperations

2011-1-7 19:34:41 创建文件阻止并结束进程
进程: c:\windows\system32\wscript.exe
目标: C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.ttf
规则: [文件组]系统文件夹写保护(询问创建、修改) -> [文件]c:\*\microsoft\internet explorer\quick launch\*

显示全部楼层 · 发表于 2011-1-7 19:49:35

submit to avertlabs

[病毒样本] jsn.vbe

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块