机器狗病毒样本

显示全部楼层 · 发表于 2011-3-20 20:08:28

大蜘蛛clean，已上报！

显示全部楼层 · 发表于 2011-3-20 20:26:09

2011-03-20 20:21:56 创建文件    操作:允许
进程路径:C:\ 5171.778.exe
文件路径:C:\WINDOWS\system32\lqcyc52.cyc
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:22:01 运行应用程序    操作:允许
进程路径:F:\virus\机器狗病毒\dnfwg.exe
文件路径:C:\WINDOWS\system32\wscript.exe
命令行:del.tmp.vbs
触发规则:所有程序规则->系统程序设置->%windir%\system32\*script.exe

2011-03-20 20:22:04 创建文件    操作:允许
进程路径:C:\ 5171.778.exe
文件路径:C:\WINDOWS\systemdebug.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\*.exe

2011-03-20 20:22:05 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\wscript.exe
文件路径:F:\virus\机器狗病毒\dnfwg.exe
触发规则:所有程序规则->全局设置->?:\*.exe

2011-03-20 20:22:06 运行应用程序    操作:允许
进程路径:C:\ 5171.778.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c c:\test.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:22:07 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:07 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\ 5171.778.exe
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\cmd.exe->%SystemDrive%\*

2011-03-20 20:22:07 删除文件    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\test.bat
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\cmd.exe->*\*.bat

2011-03-20 20:22:08 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\101.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:09 创建文件    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\WINDOWS\boot.ini
触发规则:所有程序规则->WINDOWS允许设置->%windir%\*.ini

2011-03-20 20:22:09 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\pi3731.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:09 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\100144.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:10 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\101.exe
文件路径:C:\bytanbbipw.exe
触发规则:所有程序规则->全局设置->C:\*.exe

2011-03-20 20:22:10 运行应用程序    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\941774.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:10 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\summer.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:11 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config ekrn start= disabled
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:22:12 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\100144.exe
文件路径:C:\WINDOWS\system32\update.reg
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:22:12 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\me2434_exe.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:19 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill.exe /im ekrn.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:22:21 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\ssss.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:21 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\me2434_exe.exe
文件路径:C:\Program Files\Messenger\08.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Messenger\*

2011-03-20 20:22:22 运行应用程序    操作:允许
进程路径:C:\ 2992.321.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1022.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:24 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill.exe /im egui.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:22:26 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im ekrn.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2011-03-20 20:22:29 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1022.exe
文件路径:C:\Program Files\TTPlayer
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2011-03-20 20:22:36 运行应用程序    操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\taskkill.exe
命令行:/im egui.exe /f
触发规则:所有程序规则->系统程序设置->%windir%\system32\taskkill.exe

2011-03-20 20:22:38 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1022.exe
文件路径:C:\Program Files\TTPlayer\TPlayer.exe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*.exe

2011-03-20 20:22:40 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\100144.exe
文件路径:C:\WINDOWS\regedit.exe
命令行:/s C:\WINDOWS\system32\update.reg
触发规则:所有程序规则->系统程序设置->*\regedit.exe

2011-03-20 20:22:45 创建文件    操作:允许
进程路径:C:\Program Files\TTPlayer\TPlayer.exe
文件路径:C:\WINDOWS\system32\Factory.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:22:46 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\winldr.atd
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:22:46 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\sysdrvd.cio
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:22:46 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\bhoexe.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:22:48 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\winoer.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dat

2011-03-20 20:22:48 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\winoer.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dat

2011-03-20 20:22:48 运行应用程序    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:22:50 创建文件    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\Program Files\Common Files\System\kb052578.rdc
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\System\*

2011-03-20 20:22:50 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:22:50 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:22:50 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1\CLSID
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1\CLSID
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj\CurVer
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj\CurVer
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\ProgID
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\ProgID
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\VersionIndependentProgID
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\VersionIndependentProgID
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\Programmable
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\InprocServer32
注册表名称:[Key]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->*

2011-03-20 20:22:51 创建文件    操作:阻止
进程路径:C:\Program Files\TTPlayer\TPlayer.exe
文件路径:C:\Program Files\Tencent
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\*

2011-03-20 20:22:51 创建注册表值    操作:阻止
进程路径:C:\WINDOWS\system32\regsvr32.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{CE7C3CEF-4B15-11D1-ABED-FA4C0C0931ED}\InprocServer32
注册表名称:[Default]
触发规则:应用程序规则->regsvr32设置->%windir%\system32\regsvr32.exe->HKEY_CLASSES_ROOT\CLSID\*\InprocServer32

2011-03-20 20:22:52 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\ee985326t.dll
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%windir%\*

2011-03-20 20:22:55 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\dsound.dll.erjp
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:22:55 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\dsound.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:22:55 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\DllCache\dsound.dll.erjp
触发规则:所有程序规则->WINDOWS多扩展名设置->%windir%\system32\*.dll.*

2011-03-20 20:22:56 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\DllCache\dsound.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:00 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\979748.exe
文件路径:C:\WINDOWS\system32\DllCache\dsound.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:00 修改文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\winoer.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dat

2011-03-20 20:23:01 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\桌面\快捷方式到本地连接.lnk
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2011-03-20 20:23:02 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-03-20 20:23:02 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-03-20 20:23:02 运行应用程序    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:23:06 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\cmp.esi
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:23:11 创建文件    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\Program Files\Common Files\System\kb604196.cpu
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\System\*

2011-03-20 20:23:12 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:23:12 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:12 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:12 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.eoxc
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:23:12 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\ddraw.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:23:12 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll.eoxc
触发规则:所有程序规则->WINDOWS多扩展名设置->%windir%\system32\*.dll.*

2011-03-20 20:23:12 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:12 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:12 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\994620.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:13 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\cmp.esi
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:23:18 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\cmp.esi
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:23:19 运行应用程序    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:23:21 创建文件    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\Program Files\Common Files\System\kb449731.bwb
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\System\*

2011-03-20 20:23:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:21 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:21 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll.kqfb
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:23:21 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\dsound.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:23:22 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\DllCache\dsound.dll.kqfb
触发规则:所有程序规则->WINDOWS多扩展名设置->%windir%\system32\*.dll.*

2011-03-20 20:23:22 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\DllCache\dsound.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:22 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1011354.exe
文件路径:C:\WINDOWS\system32\DllCache\dsound.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:22 创建文件    操作:允许
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\WINDOWS\system32\cmp.esi
触发规则:所有程序规则->WINDOWS全局设置->%windir%\*

2011-03-20 20:23:23 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\桌面\快捷方式到本地连接.lnk
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2011-03-20 20:23:23 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-03-20 20:23:23 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-03-20 20:23:34 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\桌面\快捷方式到本地连接.lnk
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2011-03-20 20:23:34 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-03-20 20:23:34 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
触发规则:所有程序规则->Documents and Settings设置（一）->?:\Documents and Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk

2011-03-20 20:23:44 删除文件    操作:阻止
进程路径:C:\WINDOWS\system32\conime.exe
文件路径:C:\Documents and Settings\Administrator\桌面\快捷方式到本地连接.lnk
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*.lnk

2011-03-20 20:23:55 运行应用程序    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:23:57 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:C:\WINDOWS\ee985326t.dll testall
触发规则:所有程序规则->Rundll32设置->*\rundll32.exe

2011-03-20 20:23:57 创建文件    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\Program Files\Common Files\System\kb209001.axe
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\System\*

2011-03-20 20:23:58 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:58 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:58 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:58 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:58 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:23:58 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.btes
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:23:58 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\ddraw.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:23:58 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll.btes
触发规则:所有程序规则->WINDOWS多扩展名设置->%windir%\system32\*.dll.*

2011-03-20 20:23:58 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:58 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1020877.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:23:59 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c net stop wscsvc
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:24:00 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c net stop SharedAccess
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:24:01 运行应用程序    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config sharedaccess start= disabled
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe

2011-03-20 20:24:02 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guoqu.exe
文件路径:C:\WINDOWS\extext1055527t.exe
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%windir%\*

2011-03-20 20:24:05 运行应用程序    操作:允许
进程路径:C:\WINDOWS\systemdebug.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*

2011-03-20 20:24:06 创建文件    操作:使用任务隔离区操作
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\Program Files\Common Files\System\kb127274.tmt
触发规则:所有程序规则->%ProgramFiles%设置->%ProgramFiles%\Common Files\System\*

2011-03-20 20:24:06 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:24:06 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:24:06 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:24:06 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:24:06 修改文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.dat
触发规则:所有程序规则->WINDOWS询问设置->%windir%\system32\*.dll.dat

2011-03-20 20:24:12 创建文件    操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll.skuh
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->%WinDir%\system32\*

2011-03-20 20:24:12 删除文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\ddraw.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll

2011-03-20 20:24:12 创建文件    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll.skuh
触发规则:所有程序规则->WINDOWS多扩展名设置->%windir%\system32\*.dll.*

2011-03-20 20:24:12 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:24:12 修改文件    操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\1057009.exe
文件路径:C:\WINDOWS\system32\DllCache\ddraw.dll
触发规则:所有程序规则->WINDOWS默认目录设置->%windir%\system32\dllcache\*

2011-03-20 20:24:16 创建文件    操作:允许
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\guoqu.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys

2011-03-20 20:24:19 运行应用程序    操作:阻止
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\pi3731.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\guad3731.EXE
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe

显示全部楼层 · 发表于 2011-3-20 20:35:41

诺顿搞定

显示全部楼层 · 发表于 2011-3-20 20:39:53

微点杀软报

显示全部楼层 · 发表于 2011-3-20 21:00:14

MSE kill

显示全部楼层 · 发表于 2011-3-20 21:49:59

rising kill

显示全部楼层 · 发表于 2011-3-20 21:55:02

老毒吧

显示全部楼层 · 发表于 2011-3-20 22:20:14

趋势kill (TROJ)~

显示全部楼层 · 发表于 2011-3-20 23:21:37

熊猫云
generic trojan

[病毒样本] 机器狗病毒样本

本帖子中包含更多资源