收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 病毒!
123下一页
返回列表 发新帖
楼主: 397522408
 收起左侧

[病毒样本] 病毒!

[复制链接]
hddu
发表于 2011-4-17 16:58:16 | 显示全部楼层
2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccEvtMgr.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccEvtMgr.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\defwatch.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\defwatch.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccapp.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccapp.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcupdmgr.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcupdmgr.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:53    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcproxy.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcproxy.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFSrv.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFSrv.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcnasvc.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcnasvc.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcagent.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcagent.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshell.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshell.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcinsupd.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcinsupd.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:54    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\asyncmac.sys
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:54    删除注册表      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-04-17 16:37:54    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\aec.sys
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:54    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\aec.SYS
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:55    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\aec.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-04-17 16:37:55    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\aec.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-04-17 16:37:55    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\aec.sys
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:55    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\asyncmac.sys
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:55    修改文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\AsyncMac.sys
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:55    加载驱动程序      操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\DRIVERS\asyncmac.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys


2011-04-17 16:37:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctr,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:55    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctr,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qcdg`mzVpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qcdg`mzVpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\142Qcdg`mz,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\142Qcdg`mz,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\142vpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\142vpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clvkcpr,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clvkcpr,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gipl,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gipl,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PqCeglv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PqCeglv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gewk,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gewk,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctOml,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctOml,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctOmlF,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctOmlF,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctVcqi,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctVcqi,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAglvgp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAglvgp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctQvw`,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PctQvw`,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PqVpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PqVpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QaclDpo,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QaclDpo,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Pct,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Pct,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CeglvQtp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CeglvQtp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAglvgp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AAglvgp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SSFmavmp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:56    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SSFmavmp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OaRpmz{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OaRpmz{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OaLCQta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OaLCQta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Oaqjkgnf,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Oaqjkgnf,gzg注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*

回复

举报

hddu
发表于 2011-4-17 16:58:45 | 显示全部楼层

2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pqlgvqtp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pqlgvqtp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OrdQpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OrdQpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ORQTA,GZG
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ORQTA,GZG
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ORQTA1,GZG
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ORQTA1,GZG
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IKQQta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IKQQta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IKQQta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IKQQta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iocknoml,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iocknoml,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IctQvcpv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IctQvcpv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IRDU10,GZG
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IRDU10,GZG
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ITOmlZR,IZR
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ITOmlZR,IZR
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ITQptZR,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ITQptZR,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aaQgvOep,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aaQgvOep,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aaGtvOep,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aaGtvOep,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fgducvaj,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fgducvaj,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pvtqacl,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:57    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pvtqacl,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aacrr,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aacrr,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trvpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trvpc{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oawrfoep,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oawrfoep,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oarpmz{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oarpmz{,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaqjkgnf,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaqjkgnf,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ORDQpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ORDQpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaq{qoml,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaq{qoml,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaoqaqta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaoqaqta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oalcqta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oalcqta,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaceglv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaceglv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaqjgnn,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaqjgnn,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaklqwrf,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oaklqwrf,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\`fceglv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\`fceglv,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nktgqpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nktgqpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tqqgpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tqqgpt,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zamooqtp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zamooqtp,gzg
注册表名称:[Key]
触发规则:应用程序规则->受保护的注册表->?:\*->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*


2011-04-17 16:37:58    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\rundll32.exe
文件路径:C:\WINDOWS\system32\drivers\asyncmac.sys
触发规则:应用程序规则->WINDOWS文件设置->%windir%\system32\rundll32.exe->%windir%\*


2011-04-17 16:37:58    删除注册表      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:[Key]
触发规则:应用程序规则->系统程序->%windir%\system32\rundll32.exe->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-04-17 16:38:07    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\bhoajessc.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~Frm.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2011-04-17 16:38:10    创建注册表值      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~Frm.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:updater
触发规则:所有程序规则->自动运行->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*


2011-04-17 16:38:11    删除文件      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe
文件路径:C:\WINDOWS\system32\killdll.dll
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.dll


2011-04-17 16:38:11    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\bhoajessc.exe
文件路径:C:\WINDOWS\system32\updater.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-04-17 16:38:11    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\bhoajessc.exe
文件路径:C:\WINDOWS\system32\updater.exe
触发规则:所有程序规则->WINDOWS文件设置->%windir%\system32\*.exe


2011-04-17 16:38:11    创建文件      操作:允许
进程路径:C:\WINDOWS\system32\bhoajessc.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\drivers\*.sys


2011-04-17 16:38:11    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:11    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:11    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:12    访问服务管理器      操作:阻止
进程路径:C:\WINDOWS\system32\bhoajessc.exe

触发规则:应用程序规则->访问服务管理器->%windir%\*


2011-04-17 16:38:15    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\bhoajessc.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_undelme.bat
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2011-04-17 16:40:50    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IXP001.TMP\111.EXE
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IXP002.TMP\QVODSE~2.EXE
触发规则:应用程序规则->TEMP临时目录->*\Temp\*->*\Temp\*.exe


2011-04-17 16:40:58    运行应用程序      操作:允许
进程路径:F:\virus\d_d\d_d.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\79.exe
触发规则:所有程序规则->其它程序设置->*\Temp\*


2011-04-17 16:40:59    创建文件      操作:阻止并结束进程
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IXP000.TMP\79.exe
文件路径:C:\exorkcrvrp.exe
触发规则:应用程序规则->文件防隐藏设置->?:\*->?:\*.*


回复

举报

621206HY
发表于 2011-4-17 17:06:11 | 显示全部楼层
小A;eset报毒。
回复

举报

留侯
发表于 2011-4-17 17:25:31 | 显示全部楼层
大蜘蛛:
d_d\d_d.exe - 压缩文件 CAB
d_d\d_d.exe/222.EXE - 压缩文件 CAB
d_d\d_d.exe/222.EXE/111.EXE - 压缩文件 CAB
d_d\d_d.exe/222.EXE/111.EXE/c03.exe 已感染:  Trojan.DownLoader1.14994

d_d\d_d.exe/222.EXE/1017.exe 已感染:  Trojan.DownLoader1.48237

d_d\d_d.exe/79.exe 已打包,方式: ASPACK
d_d\d_d.exe/79.exe 已打包,方式: BINARYRES
d_d\d_d.exe/79.exe 已感染:  Trojan.Click1.28840
回复

举报

saga3721
发表于 2011-4-17 17:37:39 | 显示全部楼层
红伞杀“TR/Dropper.Gen [trojan]”
回复

举报

XMonster
发表于 2011-4-17 18:40:39 | 显示全部楼层
360sd

D:\下载\d_d\d_d.exe        木马(Win32/Trojan.10f)        已删除
回复

举报

瓜皮猫
发表于 2011-4-17 19:58:39 | 显示全部楼层
eset  kill
C:\Users\微亿毫\Desktop\d_d\d_d.exe > CAB > 222.EXE > CAB > 111.EXE > CAB > c03.exe - Win32/TrojanDownloader.Agent.QLR 特洛伊木马 的变种
C:\Users\微亿毫\Desktop\d_d\d_d.exe > CAB > 222.EXE > CAB > 1017.exe - Win32/TrojanClicker.Delf.NKG 特洛伊木马 的变种
C:\Users\微亿毫\Desktop\d_d\d_d.exe > CAB > 79.exe - Win32/Delf.PTN 特洛伊木马
回复

举报

李不知
发表于 2011-4-17 20:01:15 | 显示全部楼层
瑞星KILL
回复

举报

郑伟用户
发表于 2011-4-17 20:09:52 | 显示全部楼层
回复 4楼 Dazzle_Sharp 的帖子


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

qianyuqx
头像被屏蔽
发表于 2011-4-17 21:18:13 | 显示全部楼层
mse kill
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-12-15 16:20 , Processed in 0.069898 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表