这年代还有全过的……setup.vbs

显示全部楼层 · 发表于 2011-1-29 21:23:04

全是？

显示全部楼层 · 发表于 2011-1-29 21:24:45

kingsoft miss

显示全部楼层 · 发表于 2011-1-29 21:49:27

金山卫士报安全，没有问题。

显示全部楼层 · 发表于 2011-1-29 21:51:13

本帖最后由 hddu 于 2011-1-29 21:57 编辑

2011-01-29 21:41:30 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\utnp.vbe
触发规则:所有程序规则->文件创建设置_普通模式->%SystemDrive%\*.vbe

2011-01-29 21:41:32 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink" /e /c /r users
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink" /e /c /r system
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink" /e /c /r everyone
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\桌面\Internet Explorer.Ink" /e /c /r user
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:32 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink" /e /c /r users
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink" /e /c /r system
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink" /e /c /r everyone
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.Ink" /e /c /r user
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink" /e /c /r Administrators
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink" /e /c /r Administrator
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink" /e /c /r users
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink" /e /c /r system
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink" /e /c /r everyone
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\system32\cacls.exe
命令行:"C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.Ink" /e /c /r user
触发规则:所有程序规则->系统程序设置->*\*cacls.exe

2011-01-29 21:41:33 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-29 21:41:33 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden1
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-29 21:41:33 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-29 21:41:35 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\SetMyIndex.reg
触发规则:所有程序规则->白名单与黑名单->*\*.reg

2011-01-29 21:41:44 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:/s C:\WINDOWS\SetMyIndex.reg
触发规则:所有程序规则->系统程序设置->*\regedit.exe

2011-01-29 21:41:44 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.url
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\*Internet*Explorer*

2011-01-29 21:41:44 创建文件    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\Internet Explorer.url
触发规则:所有程序规则->Documents and Settings设置（二）->*\Int*Exp*

2011-01-29 21:41:44 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-01-29 21:41:45 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\RemoveInternetExplorer.reg
触发规则:所有程序规则->白名单与黑名单->*\*.reg

2011-01-29 21:41:46 运行应用程序    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:/s C:\WINDOWS\RemoveInternetExplorer.reg
触发规则:所有程序规则->系统程序设置->*\regedit.exe

2011-01-29 21:41:46 创建文件    操作:阻止
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:C:\WINDOWS\utnp.vbe
触发规则:所有程序规则->文件创建设置_普通模式->%SystemDrive%\*.vbe

2011-01-29 21:41:47 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:ShowSuperHidden
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-29 21:41:47 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden1
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-29 21:41:47 修改注册表内容    操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wbem\wmiprvse.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:HideFileExt
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced*

2011-01-29 21:41:48 模拟键盘鼠标    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wscript.exe
触发规则:应用程序规则->系统程序->%windir%\system32\*script.exe

2011-01-29 21:41:48 模拟键盘鼠标    操作:阻止并结束进程
进程路径:C:\WINDOWS\system32\wscript.exe
触发规则:应用程序规则->系统程序->%windir%\system32\*script.exe

SetMyIndex.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{871C5380-42A0-1069-A2EA-08002B30309A}]
@="Internet Explorer"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}]
@="Internet Explorer"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\DefaultIcon]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe,0"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\InProcServer32]
@="%SystemRoot%\\system32\\shdocvw.dll"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell]
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell\OpenHomePage]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell\OpenHomePage\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.213dh.cn"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell\Q]
@="删除(&D)"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell\Q\Command]
@="Rundll32.exe"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell\属性(&R)]
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\Shell\属性(&R)\Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}\ShellFolder]
@="00.00.00.00"
"Attributes"=hex:00,00,00,00

RemoveInternetExplorer.reg

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000001

显示全部楼层 · 发表于 2011-1-29 21:57:37

2011-01-29 21:55:24 创建新进程阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\WINDOWS\System32\WScript.exe" "C:\Documents and Settings\Administrator\桌面\setup.vbs"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]c:\windows\system32\wscript.exe

从不运行。何来中毒。。

显示全部楼层 · 发表于 2011-1-29 21:58:42

本帖最后由 zst470396853 于 2011-1-30 14:12 编辑

360主防拦截但是不彻底

生成的IE图标会不断的出来 360不断的删除桌面图标

最后还是靠360强力查杀解决的问题

显示全部楼层 · 发表于 2011-1-29 22:02:38

回复 15楼左手的帖子

乃和14楼的日志怎么差那么多……

显示全部楼层 · 发表于 2011-1-29 22:03:40

左手发表于 2011-1-29 21:57
2011-01-29 21:55:24 创建新进程阻止
进程: c:\windows\explorer.exe
目标: c:\windows\system32\ ...

俺是运行了，但没有中毒。

显示全部楼层 · 发表于 2011-1-29 22:04:44

回复 17楼 O(∩_∩)O哈哈~ 的帖子

禁运了
他放开了。
当然差的多。。
另外。我胆小。。呵呵。。

显示全部楼层 · 发表于 2011-1-29 22:05:34

回复 17楼 O(∩_∩)O哈哈~ 的帖子

阻止与允许的区别。

[病毒样本] 这年代还有全过的……setup.vbs

本帖子中包含更多资源