VT Detection ratio: 6 / 48 jztUg5W.exe

显示全部楼层 · 发表于 2013-10-9 09:16:14

https://www.virustotal.com/en/fi ... nalysis/1381281266/

显示全部楼层 · 发表于 2013-10-9 09:20:05

卡巴斯基反病毒软件
2012
拒绝访问
无法访问该网页

请求对象位于网址：

https://att.kafan.cn/forum.php?mod=
attachment&aid=MjI3ODg5MHwyMGQ0MzQxMXwxM
zgxMjgxNTc2fDY2NzkzM3wxNjM4MDYw

检测到威胁：

对象已感染病毒Trojan.Win32.Droma.th

发生时间： 9:19:46

显示全部楼层 · 发表于 2013-10-9 10:49:15

百度杀毒国际版、超级巡警均不杀

显示全部楼层 · 发表于 2013-10-9 11:09:31

本帖最后由 zdlzp 于 2013-10-9 11:10 编辑

火绒还没有修改规则。
结束进程没有被锁

显示全部楼层 · 发表于 2013-10-9 11:43:01

KSOS 3 blocked：

显示全部楼层 · 发表于 2013-10-9 11:46:53

文件名: jztug5w.exe
威胁名称: SONAR.ProcHijack!gen1
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 3

____________________________

在电脑上的创建时间
2013-10-9 ( 9:21:28 )

上次使用时间
2013-10-9 ( 9:21:28 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
jztug5w.exe

____________________________

文件操作

文件: f:\norton样本\特殊\ jztug5w.exe 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\特殊\jztug5w.exe, PID:3840) 未采取操作
事件: 进程启动: c:\Windows\System32\ svchost.exe, PID:812 (执行者 f:\norton样本\特殊\jztug5w.exe, PID:3840) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2013-10-9 11:52:09

zdlzp 发表于 2013-10-9 11:09
火绒还没有修改规则。
结束进程没有被锁

添加启动项，允许（推荐），一看你就是专家级别的使用者

好好检查一下启动项，一共三处被改写呢

显示全部楼层 · 发表于 2013-10-9 11:53:11

消停发表于 2013-10-9 11:46
文件名: jztug5w.exe
威胁名称: SONAR.ProcHijack!gen1
完整路径: 不可用

ESET 7碉堡了，锁屏之后拦截提示窗口还是在锁屏界面之前，可惜就是没有终止选项

显示全部楼层 · 发表于 2013-10-9 11:55:03

zdlzp 发表于 2013-10-9 11:09
火绒还没有修改规则。
结束进程没有被锁

svchost.exe是可信任的系统程序，当然允许写入注册表的操作。
火绒没有错，错的就是你。

显示全部楼层 · 发表于 2013-10-9 12:00:51

hddu 发表于 2013-10-9 11:55
svchost.exe是可信任的系统程序，当然允许写入注册表的操作。
火绒没有错，错的就是你。

svchost.exe已经被木马修改，本质上已经是帮凶了，要是火绒能拦截陌生程序修改svchost.exe就好了

[可疑文件] VT Detection ratio: 6 / 48 jztUg5W.exe

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源