类似tdl型‘鬼影’...
+++++++++++++++++++++++++++++++++++++++++++++
2012-4-24 14:22:36 创建新进程 允许
进程: c:\windows\explorer.exe
目标: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
命令行: "E:\downloads\基本用户\help_e36c6d420122ae1e\Rocket.exe"
规则: [应用程序]*
2012-4-24 14:22:42 创建文件 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\stinst.log
规则: [应用程序]* -> [文件]*
2012-4-24 14:22:44 修改文件 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\stinst.log
规则: [应用程序]* -> [文件]*
2012-4-24 14:22:53 创建文件 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: C:\WINDOWS\system32\26760660.tmp
规则: [应用程序]* -> [文件]*
2012-4-24 14:23:15 向其他进程发送消息 (2) 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]*
2012-4-24 14:24:30 创建注册表项 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\0ADE21C9
规则: [应用程序]* -> [注册表]*
2012-4-24 14:24:55 创建文件 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: C:\WINDOWS\system32\0ADE21C9.sys
规则: [应用程序]* -> [文件]*
2012-4-24 14:25:03 创建文件 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: C:\WINDOWS\system32\106D1166.sys
规则: [应用程序]* -> [文件]*
2012-4-24 14:25:20 创建文件 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\2deb51b0.bat
规则: [应用程序]* -> [文件]*
2012-4-24 14:26:00 创建新进程 允许
进程: e:\downloads\基本用户\help_e36c6d420122ae1e\rocket.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2deb51b0.bat" "
规则: [应用程序]*
2012-4-24 14:26:04 删除文件 允许
进程: c:\windows\system32\cmd.exe
目标: E:\downloads\基本用户\help_e36c6d420122ae1e\Rocket.exe
规则: [应用程序]* -> [文件]*
2012-4-24 14:26:06 删除文件 允许
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\2deb51b0.bat
规则: [应用程序]* -> [文件]*
|
[复制链接]
