新型机器狗，过驱动防火墙

显示全部楼层 · 发表于 2011-4-30 16:40:05

贴上金山的部分日志

2011-04-30 16:27:39 C:\WINDOWS\system\705547512.exe 注入程序 C:\WINDOWS\explorer.exe 永久阻止
2011-04-30 16:27:44 C:\WINDOWS\system32\gbvgbv07.exe 修改系统文件 C:\WINDOWS\system32\comres.dll 永久阻止
2011-04-30 16:28:12 C:\WINDOWS\system\533424021.exe 全局挂钩 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1721359n03.dll 永久阻止
2011-04-30 16:29:35 C:\WINDOWS\system32\qgcngesejmsy\smss.exe 修改系统文件 C:\WINDOWS\system32\reg.exe 永久阻止
2011-04-30 16:29:37 C:\WINDOWS\system\289562466.exe 全局挂钩 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1b83d2n01.dll 永久阻止
2011-04-30 16:29:46 C:\WINDOWS\system\301948014.exe 注入程序 C:\WINDOWS\explorer.exe 永久阻止
2011-04-30 16:29:49 C:\WINDOWS\system\301948014.exe 注入程序 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 永久阻止
2011-04-30 16:29:52 C:\WINDOWS\system32\gbvgbv04.exe 修改系统文件 C:\WINDOWS\system32\comres.dll 永久阻止
2011-04-30 16:30:10 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - [Shell] 永久阻止
2011-04-30 16:30:11 C:\WINDOWS\system\774740104.exe 注入程序 C:\WINDOWS\explorer.exe 永久阻止
2011-04-30 16:30:12 C:\WINDOWS\system\774740104.exe 注入程序 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 永久阻止
2011-04-30 16:30:13 C:\WINDOWS\system32\gbvgbv06.exe 修改系统文件 C:\WINDOWS\system32\comres.dll 永久阻止
2011-04-30 16:30:14 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run - [qgcngesejmsy] 永久阻止
2011-04-30 16:30:18 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 创建注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{B656A0A4-9895-4B18-80E8-BA921D400688} 永久阻止
2011-04-30 16:30:23 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe - [Debugger] 永久阻止
2011-04-30 16:30:32 C:\WINDOWS\system\14017647.exe 注入程序 C:\WINDOWS\explorer.exe 永久阻止
2011-04-30 16:30:34 C:\WINDOWS\system\14017647.exe 注入程序 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 永久阻止
2011-04-30 16:30:36 C:\WINDOWS\system32\gbvgbv11.exe 修改系统文件 C:\WINDOWS\system32\comres.dll 永久阻止
2011-04-30 16:30:42 C:\WINDOWS\system\760723597.exe 注入程序 C:\WINDOWS\explorer.exe 永久阻止
2011-04-30 16:30:44 C:\WINDOWS\system\760723597.exe 注入程序 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 永久阻止
2011-04-30 16:30:47 C:\WINDOWS\system32\gbvgbv25.exe 修改系统文件 C:\WINDOWS\system32\comres.dll 永久阻止
2011-04-30 16:31:00 C:\WINDOWS\system\814490028.exe 全局挂钩 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1895484n17.dll 永久阻止
2011-04-30 16:31:06 C:\WINDOWS\wi25x.exe 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - [ThinksPower] 永久阻止
2011-04-30 16:31:10 C:\WINDOWS\tposdsvc.exe 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - [ThinksPower] 永久阻止
2011-04-30 16:31:12 C:\WINDOWS\system\709037908.exe 注入程序 C:\WINDOWS\explorer.exe 永久阻止
2011-04-30 16:31:13 C:\WINDOWS\system\709037908.exe 注入程序 C:\WINDOWS\system32\ofkytvcsspqk\explorer.exe 永久阻止
2011-04-30 16:31:16 C:\WINDOWS\system32\gbvgbv01.exe 修改系统文件 C:\WINDOWS\system32\comres.dll 永久阻止
2011-04-30 16:31:18 C:\Documents and Settings\Administrator\Local Settings\Temp\Breathe.dat 安装未知驱动 C:\WINDOWS\system32\\DRIVERS\ndissyn.sys 已阻止
2011-04-30 16:31:43 C:\WINDOWS\system\45352766.exe 注入程序 C:\WINDOWS\system32\conime.exe 永久阻止
2011-04-30 16:32:11 C:\WINDOWS\system\414032708.exe 修改系统文件 C:\WINDOWS\system32\mshtml.dll 永久阻止
2011-04-30 16:32:46 C:\WINDOWS\system\56236880.exe 全局挂钩 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1999218n15.dll 永久阻止

显示全部楼层 · 发表于 2011-4-30 16:54:21

红伞：TR/Drop.Agent.doaa 特洛伊木马

显示全部楼层 · 发表于 2011-4-30 16:59:00

卡巴斯基2011刚打开网页就停止了，

显示全部楼层 · 发表于 2011-4-30 17:42:45

本帖最后由 liulangzhecgr 于 2011-4-30 17:45 编辑

不怎么聪明的病毒！怎么跑到c:\widnows\system\ 目录上去！

gbv*

好面熟！

显示全部楼层 · 发表于 2011-4-30 17:55:00

不好跑...

2011-4-30 17:51:28 创建文件允许
进程: d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\QvodSetupPlus3.exe
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:51:28 创建文件允许
进程: d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\dwawdw.exe
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:51:28 修改文件阻止
进程: d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:51:28 修改文件阻止
进程: d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:51:28 修改文件阻止
进程: d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:51:28 修改文件阻止
进程: d:\我的文档\virus test\qvodsetupplus3\qvodsetupplus3.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:51:28 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:28 访问COM接口阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: {304CE942-6E39-40D8-943A-B913C40C9CD4} HNetCfg.FwMgr
文件路径: C:\WINDOWS\system32\hnetcfg.dll
规则: [应用程序]*

2011-4-30 17:51:28 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:28 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:28 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 51326] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\9eyes.PPY\Local Settings\Temporary Internet Files
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\9eyes.PPY\Cookies
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
值: C:\Documents and Settings\9eyes.PPY\Local Settings\History
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [文件]*

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [文件]*

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\9eyes.PPY\Application Data
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 删除注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 删除注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: UDP [本机 : 1811] ->  [127.0.0.1 : 1811]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 修改注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 删除注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 删除注册表值阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序]* -> [注册表组]阻止

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1812] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1813] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1814] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1815] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1816] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1817] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1818] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1819] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1820] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1821] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1822] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1823] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1824] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1825] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1826] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1827] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1828] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1829] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1830] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: TCP [本机 : 1831] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:29 创建新进程阻止并结束进程
进程: c:\documents and settings\9eyes.ppy\local settings\temp\dwawdw.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\DOCUME~1\9eyes.PPY\LOCALS~1\Temp\a.bat
规则: [应用程序]* -> [子应用程序]c:\windows\*

2011-4-30 17:51:31 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:31 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:31 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 61638] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:33 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:33 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:33 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 63763] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:35 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:35 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:35 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:35 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:35 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 4105] ->  [1.0.0.127 : 65535]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:35 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 4106] ->  [1.0.0.127 : 65535]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 60203] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:37 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 7932] ->  [1.0.0.127 : 65535]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:37 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 7933] ->  [1.0.0.127 : 65535]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:40 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:40 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:40 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:40 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:40 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 1834] ->  [192.168.1.1 : 1900]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:44 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:44 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:44 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:44 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:44 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:44 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:44 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 53337] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:47 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 8090] ->  [122.225.115.132 : 80]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:47 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: TCP [本机 : 1835] ->  [0.0.0.0 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:52 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: TCP [本机 : 1836] ->  [0.0.0.0 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:54 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:54 修改文件阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-4-30 17:51:54 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: UDP [本机 : 49614] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:51:57 访问网络阻止
进程: c:\documents and settings\9eyes.ppy\local settings\temp\qvodsetupplus3.exe
目标: TCP [本机 : 1837] ->  [61.139.219.203 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

显示全部楼层 · 发表于 2011-4-30 17:57:09

2011-4-30 17:53:24 创建文件阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: C:\WINDOWS\Mation.inf
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows

2011-4-30 17:53:24 修改注册表值阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:53:24 删除注册表值阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:53:24 删除注册表值阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:53:24 修改注册表值阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:53:24 删除注册表值阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:53:24 删除注册表值阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:53:24 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 56329] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:27 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 57254] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:29 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 61546] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:32 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 65421] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:33 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 58202] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:35 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 57045] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:38 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 50614] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:41 访问网络阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: UDP [本机 : 65420] ->  [222.246.129.80 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:53:44 创建文件阻止
进程: d:\我的文档\virus test\输出\.579518618.exe
目标: C:\WINDOWS\Debugs.inf
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows

-------------------

2011-4-30 17:54:09 结束其他进程阻止
进程: d:\我的文档\virus test\输出\6334000.exe
目标: f:\program files\tencent\qq\bin\qq.exe
规则: [应用程序组]●研磨

2011-4-30 17:54:09 创建文件阻止
进程: d:\我的文档\virus test\输出\6334000.exe
目标: C:\WINDOWS\system32\wnmxbnltsl.sd
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:54:09 创建文件阻止
进程: d:\我的文档\virus test\输出\6334000.exe
目标: C:\WINDOWS\system32\SetUp.inf
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:54:09 创建新进程阻止
进程: d:\我的文档\virus test\输出\6334000.exe
目标: f:\program files\tencent\qq\bin\qq.exe
命令行: "F:\Program Files\Tencent\QQ\Bin\QQ.exe"
规则: [应用程序组]●研磨

-------------

2011-4-30 17:54:32 创建新进程阻止
进程: d:\我的文档\virus test\输出\45352766.exe
目标: c:\windows\system32\conime.exe
命令行: D:\我的文档\virus test\输出\45352766.exe
规则: [应用程序组]●研磨

2011-4-30 17:54:32 创建文件允许
进程: d:\我的文档\virus test\输出\45352766.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\7047.bat
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\45352766.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:54:32 修改文件阻止
进程: d:\我的文档\virus test\输出\45352766.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:54:32 修改文件阻止
进程: d:\我的文档\virus test\输出\45352766.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:54:32 修改文件阻止
进程: d:\我的文档\virus test\输出\45352766.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:54:32 修改文件阻止
进程: d:\我的文档\virus test\输出\45352766.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●研磨 -> [文件]*

显示全部楼层 · 发表于 2011-4-30 18:00:33

2011-4-30 17:55:08 创建文件阻止
进程: d:\我的文档\virus test\输出\533424020.exe
目标: C:\bovilglplrco.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\

------------

2011-4-30 17:55:46 创建文件允许
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\5001359n03.dll
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\533424021.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:55:46 设置文件隐藏属性允许
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\5001359n03.dll
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\533424021.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:55:46 修改文件允许
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\5001359n03.dll
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\533424021.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:55:46 创建文件允许
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\mainlist.ini
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\533424021.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:55:46 创建文件阻止
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\WINDOWS\ctfmon.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows

2011-4-30 17:55:46 创建文件阻止
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\WINDOWS\ctfmon.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows

2011-4-30 17:55:46 创建文件阻止
进程: d:\我的文档\virus test\输出\533424021.exe
目标: C:\WINDOWS\ctfmon.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows

2011-4-30 17:55:47 安装全局消息钩子阻止
进程: d:\我的文档\virus test\输出\533424021.exe
目标: c:\documents and settings\9eyes.ppy\local settings\temp\5001359n03.dll
钩子类型: WH_GETMESSAGE
规则: [应用程序组]●研磨

2011-4-30 17:55:47 向其他进程发送消息阻止
进程: d:\我的文档\virus test\输出\533424021.exe
消息: WM_SETFOCUS
规则: [应用程序组]●研磨

---------------

2011-4-30 17:56:34 访问COM接口阻止
进程: d:\我的文档\virus test\输出\579518618.exe
目标: {8856F961-340A-11D0-A96B-00C04FD705A2} Shell.Explorer.2
文件路径: C:\WINDOWS\system32\ieframe.dll
规则: [应用程序组]●研磨 -> [COM接口]{8856F961-340A-11D0-A96B-00C04FD705A2}

--------------

2011-4-30 17:56:34 访问COM接口阻止
进程: d:\我的文档\virus test\输出\579518618.exe
目标: {8856F961-340A-11D0-A96B-00C04FD705A2} Shell.Explorer.2
文件路径: C:\WINDOWS\system32\ieframe.dll
规则: [应用程序组]●研磨 -> [COM接口]{8856F961-340A-11D0-A96B-00C04FD705A2}

2011-4-30 17:57:00 访问COM接口阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: {4590F811-1D3A-11D0-891F-00AA004B2E24} WBEM Locator
文件路径: C:\WINDOWS\system32\wbem\wbemprox.dll
规则: [应用程序组]●研磨 -> [COM接口]{4590F811-1D3A-11D0-891F-00AA004B2E24}

2011-4-30 17:57:00 访问COM接口阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: {4590F811-1D3A-11D0-891F-00AA004B2E24} WBEM Locator
文件路径: C:\WINDOWS\system32\wbem\wbemprox.dll
规则: [应用程序组]●研磨 -> [COM接口]{4590F811-1D3A-11D0-891F-00AA004B2E24}

2011-4-30 17:57:00 访问COM接口阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: {4590F811-1D3A-11D0-891F-00AA004B2E24} WBEM Locator
文件路径: C:\WINDOWS\system32\wbem\wbemprox.dll
规则: [应用程序组]●研磨 -> [COM接口]{4590F811-1D3A-11D0-891F-00AA004B2E24}

2011-4-30 17:57:00 访问COM接口阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: {4590F811-1D3A-11D0-891F-00AA004B2E24} WBEM Locator
文件路径: C:\WINDOWS\system32\wbem\wbemprox.dll
规则: [应用程序组]●研磨 -> [COM接口]{4590F811-1D3A-11D0-891F-00AA004B2E24}

2011-4-30 17:57:00 修改注册表值阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:57:00 删除注册表值阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:57:00 删除注册表值阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:57:00 修改注册表值阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:57:00 删除注册表值阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:57:00 删除注册表值阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:57:00 访问网络阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: UDP [本机 : 1854] ->  [127.0.0.1 : 1854]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:57:00 访问网络阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: TCP [本机 : 1855] ->  [222.186.51.227 : 872]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:57:00 访问网络阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: TCP [本机 : 1856] ->  [222.187.221.42 : 872]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:57:00 创建文件阻止
进程: d:\我的文档\virus test\输出\579518636.exe
目标: D:\我的文档\virus test\输出\a.bat
规则: [应用程序组]●研磨 -> [文件]*

----------------

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\fonts\dbr07019.ttf
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:57:30 创建文件允许
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004DE6B0mdd.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\705547512.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:30 修改文件允许
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004DE6B0mdd.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\705547512.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\system32\dbr07019.ocx
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:30 创建文件允许
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004DE6BFime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\705547512.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:30 修改文件允许
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004DE6BFime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\705547512.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\system32\winnt.com
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:30 创建文件允许
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004DE6CFeime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\705547512.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:30 修改文件允许
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004DE6CFeime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\705547512.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\system32\dbr99005.ocx
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\system32\gbvgbv07.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\system32\gbvgbv07.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:30 创建文件阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: C:\WINDOWS\system32\gbvgbv07.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:30 修改其他进程的内存阻止
进程: d:\我的文档\virus test\输出\705547512.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]●研磨

----===---------------------

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\fonts\dbr01029.ttf
规则: [应用程序组]●研磨 -> [文件]*

2011-4-30 17:57:58 创建文件允许
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004E5306mdd.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\709037908.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:58 修改文件允许
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004E5306mdd.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\709037908.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\system32\dbr01029.ocx
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:58 创建文件允许
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004E5306ime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\709037908.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:58 修改文件允许
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004E5306ime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\709037908.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\system32\winnt.com
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:58 创建文件允许
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004E5306eime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\709037908.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:58 修改文件允许
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\Documents and Settings\9eyes.PPY\Local Settings\Temp\004E5306eime.temp
规则: [应用程序组]●研磨 -> [应用程序]d:\我的文档\virus test\输出\709037908.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\system32\dbr99005.ocx
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\system32\gbvgbv01.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\system32\gbvgbv01.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:58 创建文件阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: C:\WINDOWS\system32\gbvgbv01.exe
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:57:58 修改其他进程的内存阻止
进程: d:\我的文档\virus test\输出\709037908.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]●研磨

显示全部楼层 · 发表于 2011-4-30 18:01:32

2011-4-30 17:58:18 修改注册表值阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:58:18 删除注册表值阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:58:18 删除注册表值阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:58:18 修改注册表值阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:58:18 删除注册表值阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:58:18 删除注册表值阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; Proxy*

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: UDP [本机 : 1858] ->  [127.0.0.1 : 1858]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1859] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1860] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1861] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1862] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1863] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1864] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1865] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1866] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:18 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1867] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1868] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1869] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1870] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1871] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1872] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1873] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1874] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1875] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1876] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1877] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 访问网络阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: TCP [本机 : 1878] ->  [222.211.91.39 : 87]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-4-30 17:58:19 创建文件阻止
进程: d:\我的文档\virus test\输出\dwawdw.exe
目标: D:\我的文档\virus test\输出\a.bat
规则: [应用程序组]●研磨 -> [文件]*

------------

2011-4-30 17:58:43 创建文件夹阻止
进程: d:\我的文档\virus test\输出\pkjwwpnjmvli.exe
目标: C:\WINDOWS\system32\vxawfhywigdg
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:58:43 创建文件夹阻止
进程: d:\我的文档\virus test\输出\pkjwwpnjmvli.exe
目标: C:\WINDOWS\system32\nsyfdasukcqj
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

---------------------------
2011-4-30 17:59:02 创建文件夹阻止
进程: d:\我的文档\virus test\输出\smss.exe
目标: C:\WINDOWS\system32\vxawfhywigdg
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-30 17:59:02 创建文件夹阻止
进程: d:\我的文档\virus test\输出\smss.exe
目标: C:\WINDOWS\system32\nsyfdasukcqj
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

显示全部楼层 · 发表于 2011-4-30 18:08:53

本帖最后由 bluelily 于 2011-4-30 18:29 编辑

红伞杀 IK杀

显示全部楼层 · 发表于 2011-4-30 18:26:12

bluelily 发表于 2011-4-30 18:08
红伞杀过IK

你的ik没更新吧？

[病毒样本] 新型机器狗，过驱动防火墙

本帖子中包含更多资源

评分