查看: 3999|回复: 26
收起左侧

[可疑文件] 2x

  [复制链接]
hx1997
发表于 2016-6-18 22:12:33 | 显示全部楼层 |阅读模式
本帖最后由 hx1997 于 2016-6-18 22:14 编辑

https://www.virustotal.com/en/fi ... nalysis/1466258660/

https://www.virustotal.com/en/fi ... nalysis/1466258674/

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liangxy
头像被屏蔽
发表于 2016-6-18 22:31:27 | 显示全部楼层
mes all miss
lzy2010000
发表于 2016-6-18 22:38:35 | 显示全部楼层
ESET10 全部MISS
pal家族
发表于 2016-6-18 22:45:57 | 显示全部楼层
卡巴这是传说中的火线入库嘛?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
学雷锋做人
发表于 2016-6-18 22:46:34 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qqddliu
发表于 2016-6-18 23:03:59 | 显示全部楼层
本帖最后由 qqddliu 于 2016-6-18 23:07 编辑

【1】2016-06-18 21:56:31,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯自定义文

件防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【文件保护】〖风险目录〗可执行程序,不信任请阻止
操作类型:写入
操作文件:C:\Documents and Settings\Administrator\Application Data\{22C73721-3A20-34F0-011D-

F3EF896C9B67}\bootvrfy.exe
用户操作:已阻止

【2】2016-06-18 21:56:28,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯自定义文

件防护规则, 已忽略

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【文件保护】〖常用目录〗 通常存放一些应用程序所需的数据文件。允许创建除可执

行文件之外的其他所有文件。
操作类型:创建
操作文件:C:\Documents and Settings\Administrator\Application Data\{22C73721-3A20-34F0-011D-

F3EF896C9B67}
用户操作:已忽略

【3】2016-06-18 21:56:24,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【注册表保护】〖自启动〗防止病毒利用屏保实现自启动
操作类型:写入
操作注册表:HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
用户操作:已阻止

【4】2016-06-18 21:56:22,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【注册表保护】〖自启动〗可以设置随命令行窗口的启动而自启动
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Command Processor
用户操作:已阻止

【5】2016-06-18 21:56:20,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【注册表保护】〖其他相关〗系统辅助功能设置
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
用户操作:已阻止

【6】2016-06-18 21:56:17,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【注册表保护】〖自启动〗常规启动项
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
用户操作:已阻止

【7】2016-06-18 21:56:13,系统防护,自定义防护,58b09949b8c9e33ac50359f1a73d8d3e.exe触犯 , 已忽略

操作进程:C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
触犯规则:●星火●【文件保护】〖常用目录〗桌面文件夹
操作类型:执行
C:\Documents and Settings\Administrator\桌面\58b09949b8c9e33ac50359f1a73d8d3e.exe
用户操作:已忽略

【1】2016-06-18 21:57:42,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯 , 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【应用程序保护】〖风险程序〗
操作类型:执行
C:\WINDOWS\system32\cmd.exe
用户操作:已阻止

【2】2016-06-18 21:57:39,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯自定义文

件防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【文件保护】〖常用目录〗 通常存放一些应用程序所需的数据文件。允许创建除可执

行文件之外的其他所有文件。
操作类型:创建
操作文件:C:\Documents and Settings\Administrator\Application Data\{22C73721-3A20-34F0-011D-

F3EF896C9B67}\mqbkup.exe
用户操作:已阻止

【3】2016-06-18 21:57:39,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯 , 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【应用程序保护】〖黑名单〗命令行窗口,许多病毒的破坏功能都要调用此程序,允

Explorer.exe调用。
操作类型:执行
C:\WINDOWS\system32\cmd.exe
用户操作:已阻止

【4】2016-06-18 21:57:32,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【注册表保护】〖自启动〗防止病毒利用屏保实现自启动
操作类型:写入
操作注册表:HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
用户操作:已阻止

【5】2016-06-18 21:57:30,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【注册表保护】〖自启动〗可以设置随命令行窗口的启动而自启动
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Command Processor
用户操作:已阻止

【6】2016-06-18 21:57:26,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【注册表保护】〖其他相关〗系统辅助功能设置
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
用户操作:已阻止

【7】2016-06-18 21:57:22,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯自定义注

册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【注册表保护】〖自启动〗常规启动项
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
用户操作:已阻止

【8】2016-06-18 21:57:17,系统防护,自定义防护,5da7d6ba9f054a634f4adc169b50a637.exe触犯 , 已忽略

操作进程:C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
触犯规则:●星火●【文件保护】〖常用目录〗桌面文件夹
操作类型:执行
C:\Documents and Settings\Administrator\桌面\5da7d6ba9f054a634f4adc169b50a637.exe
用户操作:已忽略


追影子的十三
发表于 2016-6-18 23:06:03 | 显示全部楼层
360压缩报毒

过avast
hx1997
 楼主| 发表于 2016-6-18 23:07:11 | 显示全部楼层
pal家族 发表于 2016-6-18 22:45
卡巴这是传说中的火线入库嘛?

这是啥黑科技?VT 上卡巴没有特征啊?
诸葛亮
发表于 2016-6-18 23:20:38 | 显示全部楼层
文件名: 5da7d6ba9f054a634f4adc169b50a637.exe
威胁名称: SONAR.Heuristic.144完整路径: 不可用

____________________________

____________________________


在电脑上 
2016/6/18 ( 23:11:00 )

上次使用时间 
2016/6/18 ( 23:11:00 )

启动项 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


5da7d6ba9f054a634f4adc169b50a637.exe 威胁名称: SONAR.Heuristic.144
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
5da7d6ba9f054a634f4adc169b50a637.exe

____________________________

文件操作

文件: c:\sandbox\l\defaultbox\user\current\appdata\roaming\microsoft\windows\start menu\programs\startup\ expand.lnk 威胁已删除
受感染文件: c:\users\l\desktop\新建文件夹\desktop\ 5da7d6ba9f054a634f4adc169b50a637.exe 已删除
目录: c:\sandbox\l\defaultbox\user\current\appdata\roaming\ {244148b2-ef78-23eb-8915-7a70bd9563c9} 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\l\desktop\新建文件夹\desktop\5da7d6ba9f054a634f4adc169b50a637.exe, PID:2916) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\desktop\ 5da7d6ba9f054a634f4adc169b50a637.exe, PID:11932 (执行者 c:\users\l\desktop\新建文件夹\desktop\5da7d6ba9f054a634f4adc169b50a637.exe, PID:2916) 未采取操作
事件: 进程启动 (执行者 c:\users\l\desktop\新建文件夹\desktop\5da7d6ba9f054a634f4adc169b50a637.exe, PID:11932) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\desktop\ 5da7d6ba9f054a634f4adc169b50a637.exe, PID:2916 (执行者 c:\users\l\desktop\新建文件夹\desktop\5da7d6ba9f054a634f4adc169b50a637.exe, PID:2916) 未采取操作
事件: PE 文件创建: c:\sandbox\l\defaultbox\user\current\appdata\roaming\{244148b2-ef78-23eb-8915-7a70bd9563c9}\ expand.exe (执行者 c:\users\l\desktop\新建文件夹\desktop\5da7d6ba9f054a634f4adc169b50a637.exe, PID:11932) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\desktop\ 5da7d6ba9f054a634f4adc169b50a637.exe, PID:11932 (执行者 c:\users\l\desktop\新建文件夹\desktop\5da7d6ba9f054a634f4adc169b50a637.exe, PID:11932) 未采取操作
____________________________


文件指纹 - SHA:
7d42910ffe9488791a2dd233cb3f0631490c3351e629348da33f80e19813b58b
文件指纹 - MD5:
不可用


文件名: 58b09949b8c9e33ac50359f1a73d8d3e.exe
威胁名称: SONAR.Heuristic.144完整路径: 不可用

____________________________

____________________________


在电脑上 
2016/6/18 ( 23:11:37 )

上次使用时间 
2016/6/18 ( 23:11:37 )

启动项 


已启动 


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


58b09949b8c9e33ac50359f1a73d8d3e.exe 威胁名称: SONAR.Heuristic.144
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
58b09949b8c9e33ac50359f1a73d8d3e.exe

____________________________

文件操作

文件: c:\users\l\desktop\新建文件夹\desktop\ 58b09949b8c9e33ac50359f1a73d8d3e.exe 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\roaming\microsoft\windows\start menu\programs\startup\ vmnetdhcp.lnk 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:2792) 未采取操作
(执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:2792) 未采取操作
事件: 进程启动: c:\Windows\ splwow64.exe, PID:5748 (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:2792) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\desktop\ 58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:12940 (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:2792) 未采取操作
事件: 进程启动 (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:12940) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\desktop\ 58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:2792 (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:2792) 未采取操作
事件: PE 文件创建: c:\sandbox\l\defaultbox\user\current\appdata\roaming\{244148b2-ef78-23eb-8915-7a70bd9563c9}\ vmnetdhcp.exe (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:12940) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\desktop\ 58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:12940 (执行者 c:\users\l\desktop\新建文件夹\desktop\58b09949b8c9e33ac50359f1a73d8d3e.exe, PID:12940) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
pal家族
发表于 2016-6-18 23:25:55 | 显示全部楼层
hx1997 发表于 2016-6-18 23:07
这是啥黑科技?VT 上卡巴没有特征啊?

卡巴自己的在线扫描
有时候特征要等一段时间才能推送

评分

参与人数 1人气 +1 收起 理由
hx1997 + 1

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 16:04 , Processed in 0.133648 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表