勒索大礼包

windows7爱好者

3个勒索下载器，两个DLL勒索，一个EXE勒索

SEP14剩下两个脚本，被IPS全部拦截

rugu

windows7爱好者

rugu 发表于 2016-9-27 20:30

用rulld32执行那两个dll文件
或者EXE直接玩也行
看看能拦住不
不要实机

诸葛亮

NIS 扫描全杀

扫描信息:
  病毒定义版本: 2016.09.27.001
  病毒定义序列 ID: 180781

扫描统计信息:
  扫描开始:
   本地: 2016/9/27 20:43
   UTC: 2016/9/27 12:43
  扫描时间: 64 秒
  扫描目标: C:\Users\M\Desktop\新建文件夹\勒索大礼包
计数:
  扫描的项目总数: 8
  - 文件和目录: 8
  - 注册表条目: 0
  - 进程和启动项目: 0
  - 网络和浏览器项目: 0
  - 其他: 0
  - 受信任文件: 0
  - 跳过的文件: 0

  检测到的安全风险总数: 4
  已解决的项目总数: 4
  需要注意的项目总数: 0


已解决的威胁:
JS.Downloader
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 病毒
状态: 完全解决
-----------
4 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1840-utc-extracted-file-updated invoice pdf d32161a.wsf - 已删除
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1804-utc-extracted-file-dgwv9m4027.wsf - 已删除
c:\users\m\desktop\新建文件夹\勒索大礼包\dgwv9m4027.wsf - 已删除
c:\users\m\desktop\新建文件夹\勒索大礼包\updated invoice pdf d32161a.wsf - 已删除
1 个浏览器缓存



Ransom.Locky
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 病毒
状态: 完全解决
-----------
1 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1804-utc-downloaded-locky-xxinzimwq1.dll - 已删除
1 个浏览器缓存



Heur.AdvML.B
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 启发式病毒
状态: 完全解决
-----------
1 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1840-utc-downloaded-locky-gkrs6ipemxdlcqht.dll - 已删除
1 个浏览器缓存



Heur.AdvML.B
类型: 异常
风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
类别: 启发式病毒
状态: 完全解决
-----------
1 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-eitest-rig-ek-payload.exe - 已删除
1 个浏览器缓存





未解决的威胁:
没有未解决的风险

skyboybone

windows7爱好者

skyboybone 发表于 2016-9-27 20:55

还有个EXE

青衣染雪

下载拦截

青衣染雪

火绒下载扫描2x，扫描5x，卡巴清空

aboringman

AVG：

双击：实机双击，脚本和程序全部阵亡，IDP大获全胜。【我向来不玩dll】

"";"IDP.Trojan.A795607F, C:\Users\abori\Desktop\2016-09-26-EITest-Rig-EK-payload.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:20:45"

"";", C:\Users\abori\Desktop\2016-09-26-EITest-Rig-EK-payload.exe";"Object was blocked";"Process";"2016/9/27, 21:20:45"

"";"General behavioral detection, C:\Users\abori\Desktop\2016-09-26-1840-UTC-extracted-file-Updated invoice pdf D32161A.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:20:06"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:20:06"

"";"IDP.Trojan.1E35695E, C:\Users\abori\AppData\Local\Temp\gkrS6IPeMxdlcQhT.dll";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:19:13"

"";", C:\Windows\System32\rundll32.exe";"Object was blocked";"Process";"2016/9/27, 21:19:13"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:19:13"

"";", C:\Users\abori\Desktop\Updated invoice pdf D32161A.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:19:13"

"";"General behavioral detection, C:\Users\abori\Desktop\DGWV9M4027.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:18:37"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:18:37"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:18:37"

"";", E:\QQPinyin\5.4.3311.400\QQPYService.exe";"Object was blocked";"Process";"2016/9/27, 21:18:37"

"";"IDP.Trojan.1CDD7C7A, C:\Users\abori\AppData\Local\Temp\xXINzimwQ2.dll";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\rundll32.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", E:\QQPinyin\5.4.3311.400\QQPYService.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Users\abori\Desktop\2016-09-26-1804-UTC-extracted-file-DGWV9M4027.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:17:57"

windows7爱好者

aboringman 发表于 2016-9-27 21:34
AVG：

双击：实机双击，脚本和程序全部阵亡，IDP大获全胜。【我向来不玩dll】

你又出现了
失踪人口回归