楼主: 引领五基生活
收起左侧

[可疑文件] c52.exe

[复制链接]
Sailer.X 该用户已被删除
发表于 2017-7-3 18:43:31 | 显示全部楼层
Norton:
Trojan.Gen.2
a445441
发表于 2017-7-4 09:33:24 | 显示全部楼层
微点拦截
fever腾腾
发表于 2017-7-5 10:34:06 | 显示全部楼层
费尔miss
实机 未双击
安全守护者
头像被屏蔽
发表于 2017-7-5 12:53:24 | 显示全部楼层

[mw_shl_code=xml,true]VirSCAN.org Scanned Report :Scanned time   : 2017-07-05 12:47:16
Scanner results: 7%的杀软(3/39)报告发现病毒
File Name      : c52.zip
File Size      : 284863 byte
File Type      : application/zip
MD5            : a3a77a3c426d8eb5902dbc2721552143
SHA1           : 4884594614af7f3c95e19bb00c33371b174b927f
Online report  : http://r.virscan.org/report/03bbcb94cfc9eee0311536e6e9dd6146

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
ANTIVIR        1.9.2.0        1.9.159.0         7.14.15.234    18   没有发现病毒            
AVAST!         170303-1       4.7.4             2017-03-03     46   没有发现病毒            
AVG            2109/14149     10.0.1405         2017-07-04     1    没有发现病毒            
ArcaVir        1.0            2011              2014-05-30     8    没有发现病毒            
Authentium     4.6.5          5.3.14            2017-07-04     1    没有发现病毒            
Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        7    没有发现病毒            
Bitdefender    7.58879        7.90123           2015-01-16     1    没有发现病毒            
ClamAV         23530          0.97.5            2017-07-03     1    没有发现病毒            
Comodo         15023          5.1               2017-07-04     3    没有发现病毒            
Dr.Web         5.0.2.3300     5.0.1.1           2017-06-18     40   没有发现病毒            
F-PROT         4.6.2.117      6.5.1.5418        2016-02-05     1    没有发现病毒            
F-Secure       2015-08-01-02  9.13              2015-08-01     1    没有发现病毒            
Fortinet       49.962, 49.961,5.4.247           2017-07-05     1    没有发现病毒            
GData          25.13217       25.13217          2017-07-05     11   Trojan.GenericKD.5539066      
IKARUS         1.06.01        V1.32.31.0        2016-11-28     1    没有发现病毒            
NOD32          1777           3.0.21            2015-06-12     1    没有发现病毒            
QQ手机       1.0.0.0        1.0.0.0           2015-12-30     1    没有发现病毒            
Quickheal      14.00          14.00             2017-07-04     3    没有发现病毒            
SOPHOS         5.32           3.65.2            2016-10-10     8    没有发现病毒            
Sunbelt        3.9.2671.2     3.9.2671.2        2017-07-03     2    没有发现病毒            
TheHacker      6.8.0.5        6.8.0.5           2017-07-02     1    没有发现病毒            
Vba32          3.12.29.5 beta 3.12.29.5 beta    2017-06-30     3    没有发现病毒            
ViRobot        2.73           2.73              2015-01-30     1    没有发现病毒            
VirusBuster    15.0.985.0     5.5.2.13          2014-12-05     15   没有发现病毒            
a-squared      9.0.0.4799     9.0.0.4799        2015-03-08     1    没有发现病毒            
nProtect       9.9.9          9.9.9             2013-12-27     3    没有发现病毒            
卡巴斯基   5.5.33         5.5.33            2014-04-01     19   没有发现病毒            
奇虎360      1.0.1          1.0.1             1.0.1          3    Trojan.Generic               
安博士V3    9.9.9          9.9.9             2013-05-28     4    没有发现病毒            
安天         AVL SDK 2.0                      1970-01-01     3    没有发现病毒            
江民杀毒   16.0.100       1.0.0.0           2017-07-02     2    没有发现病毒            
熊猫卫士   9.05.01        9.05.01           2017-07-03     5    没有发现病毒            
瑞星         26.28.00.01    26.28.00.01       2016-07-18     4    没有发现病毒            
百度杀毒   1.0            1.0               2017-03-22     1    没有发现病毒            
费尔         17.47.17308    1.0.2.2108        2017-07-04     6    没有发现病毒            
赛门铁克   20151230.005   1.3.0.24          2015-12-30     1    没有发现病毒            
趋势科技   13.302.06      9.500-1005        2017-03-27     1    没有发现病毒            
迈克菲      8261           5400.1158         2016-08-18     8    没有发现病毒            
金山毒霸   2.1            2.1               2017-07-04     3    Win32.Hack.Androm.no.(kcloud)
[/mw_shl_code]

[mw_shl_code=sql,true]文件检测评级:
高度风险


基本信息
文件名称:       
c52.zip
MD5:        a3a77a3c426d8eb5902dbc2721552143
文件类型:        zip
上传时间:        2017-07-05 12:47:06
出品公司:        N/A
版本:        N/A
壳或编译器信息:        COMPILER:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation *
子文件信息:       
c52.exedumpFile /  dbfb2fb1b56572d820f6d914760c645f /  EXE
c52.exe /  dbfb2fb1b56572d820f6d914760c645f /  EXE
关键行为
行为描述:        设置特殊文件夹属性
详情信息:       
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5
行为描述:        直接获取CPU时钟
详情信息:       
EAX = 0x4c918246, EDX = 0x00000039
EAX = 0x547f502f, EDX = 0x00000039
行为描述:        获取TickCount值
详情信息:       
TickCount = 79234, SleepMilliseconds = 1000.
TickCount = 79250, SleepMilliseconds = 1000.
TickCount = 79375, SleepMilliseconds = 1000.
TickCount = 79406, SleepMilliseconds = 1000.
TickCount = 79421, SleepMilliseconds = 1000.
TickCount = 138421, SleepMilliseconds = 60000.
TickCount = 138437, SleepMilliseconds = 60000.
TickCount = 138453, SleepMilliseconds = 60000.
TickCount = 138468, SleepMilliseconds = 60000.
TickCount = 138500, SleepMilliseconds = 60000.
TickCount = 138515, SleepMilliseconds = 60000.
TickCount = 138546, SleepMilliseconds = 60000.
TickCount = 138578, SleepMilliseconds = 60000.
TickCount = 138640, SleepMilliseconds = 60000.
TickCount = 138734, SleepMilliseconds = 60000.
文件行为
行为描述:        创建文件
详情信息:       
C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\out
行为描述:        覆盖已有文件
详情信息:       
C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\out
行为描述:        设置特殊文件夹属性
详情信息:       
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5
行为描述:        查找文件
详情信息:       
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_*
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\*
FileName = C:\Windows
FileName = C:\Windows\System32
FileName = C:\Windows\System32\netshell.dll
FileName = C:\Windows\System32\*.*
FileName = printfile*.txt
FileName = C:\Windows\system32\?.*
FileName = C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\Windows\system32\Ras\*.pbk
网络行为
行为描述:        打开HTTP连接
详情信息:       
InternetOpenA: UserAgent: ?, hSession = 0x00cc0004
InternetOpenA: UserAgent: ?, hSession = 0x00cc0008
InternetOpenA: UserAgent: ?, hSession = 0x00cc000c
InternetOpenA: UserAgent: ?, hSession = 0x00cc0010
InternetOpenA: UserAgent: ?, hSession = 0x00cc0014
InternetOpenA: UserAgent: ?, hSession = 0x00cc0018
InternetOpenA: UserAgent: ?, hSession = 0x00cc001c
InternetOpenA: UserAgent: ?, hSession = 0x00cc0020
InternetOpenA: UserAgent: ?, hSession = 0x00cc0024
InternetOpenA: UserAgent: ?, hSession = 0x00cc0028
InternetOpenA: UserAgent: ?, hSession = 0x00cc002c
InternetOpenA: UserAgent: ?, hSession = 0x00cc0030
InternetOpenA: UserAgent: ?, hSession = 0x00cc0034
InternetOpenA: UserAgent: ?, hSession = 0x00cc0038
InternetOpenA: UserAgent: ?, hSession = 0x00cc003c
注册表行为
行为描述:        修改注册表
详情信息:       
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{7007ACC7-3202-11D1-AAD2-00805FC1270E} {000214E6-0000-0000-C000-000000000046} 0xFFFF
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\EnableFileTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\EnableConsoleTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\FileTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\ConsoleTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\MaxFileSize
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\FileDirectory
行为描述:        删除注册表键值
详情信息:       
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
其他行为
行为描述:        检测自身是否被调试
详情信息:       
IsDebuggerPresent
行为描述:        创建互斥体
详情信息:       
RasPbFile
Local\!PrivacIE!SharedMemory!Mutex
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
行为描述:        打开互斥体
详情信息:       
RasPbFile
Local\_!MSFTHISTORY!_
Local\c:!users!administrator!appdata!local!microsoft!windows!temporary internet files!content.ie5!
Local\c:!users!administrator!appdata!roaming!microsoft!windows!cookies!
Local\c:!users!administrator!appdata!local!microsoft!windows!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
行为描述:        查找指定窗口
详情信息:       
NtUserFindWindowEx: [Class,Window] = [NDDEAgnt,NetDDE Agent]
行为描述:        启动系统服务
详情信息:       
[服务启动成功]: NT AUTHORITY\NetworkService, Telephony, C:\Windows\System32\svchost.exe -k NetworkService
行为描述:        打开事件
详情信息:       
HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
\KernelObjects\MaximumCommitCondition
MSFT.VSA.COM.DISABLE.2644
MSFT.VSA.IEC.STATUS.6c736db0
\INSTALLATION_SECURITY_HOLD
行为描述:        获取TickCount值
详情信息:       
TickCount = 79234, SleepMilliseconds = 1000.
TickCount = 79250, SleepMilliseconds = 1000.
TickCount = 79375, SleepMilliseconds = 1000.
TickCount = 79406, SleepMilliseconds = 1000.
TickCount = 79421, SleepMilliseconds = 1000.
TickCount = 138421, SleepMilliseconds = 60000.
TickCount = 138437, SleepMilliseconds = 60000.
TickCount = 138453, SleepMilliseconds = 60000.
TickCount = 138468, SleepMilliseconds = 60000.
TickCount = 138500, SleepMilliseconds = 60000.
TickCount = 138515, SleepMilliseconds = 60000.
TickCount = 138546, SleepMilliseconds = 60000.
TickCount = 138578, SleepMilliseconds = 60000.
TickCount = 138640, SleepMilliseconds = 60000.
TickCount = 138734, SleepMilliseconds = 60000.
行为描述:        获取光标位置
详情信息:       
CursorPos = (555,18472), SleepMilliseconds = 1000.
行为描述:        枚举窗口
详情信息:       
N/A
行为描述:        调用Sleep函数
详情信息:       
[1]: MilliSeconds = 1000.
[2]: MilliSeconds = 60000.
[3]: MilliSeconds = 60000.
[4]: MilliSeconds = 60000.
[5]: MilliSeconds = 60000.
[6]: MilliSeconds = 60000.
[7]: MilliSeconds = 60000.
[8]: MilliSeconds = 60000.
[9]: MilliSeconds = 60000.
[10]: MilliSeconds = 60000.
行为描述:        直接获取CPU时钟
详情信息:       
EAX = 0x4c918246, EDX = 0x00000039
EAX = 0x547f502f, EDX = 0x00000039
Copyright©1998 - 2017 Tencent.All Rights Reserved
腾讯公司 版权所有[/mw_shl_code]


fever腾腾
发表于 2017-7-5 23:40:43 | 显示全部楼层
更新后费尔kill
DF快递
发表于 2017-7-6 00:29:50 | 显示全部楼层
sep kill
,就一个.
发表于 2017-7-10 13:38:53 | 显示全部楼层
AVA 25.13308
GD 25.9967

*** Prozess ***

Prozess: 4384
Dateiname: c52.exe
Pfad: d:\360极速浏览器下载\c52\c52.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 13:38:08
Änderungsdatum: 2017年7月3日 16:57:02

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows


*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Es wurde auf einen fremden Prozess zugegriffen.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
D:\360极速浏览器下载\c52\c52.exe

Folgende Registry Einträge wurden gelöscht:


YHKSDS4nJycnJgYvJyonKiYGp0InKnSiYmJwKycqJyomBrlycg/pcoJiYnKCoCwnKCYmJwiscnJycmJi0CgnKCYmJwh3LycnJycmBqcrGH01ZiooGuw1ZisnGH01ZioHpy0nKSYmJwm3LycnJycmBscvJygmJicI5ygn2HDecoJiYnKCcI9y4oCWcoKA+3JycnJiYoCucpKAvnKSYmJykgAA
Version der Regeln: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"D:\360极速浏览器下载\c52\c52.exe"
MD5: DBFB2FB1B56572D820F6D914760C645F
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24
ytysh
发表于 2017-7-11 07:25:27 | 显示全部楼层
fireherman 发表于 2017-7-3 16:59
ESET scan miss

Live Gird [高危/自动上报]

怎么知道Live Gird自动上传了?
ytysh
发表于 2017-7-11 07:28:26 | 显示全部楼层
Immunet Kill

F-Secure Kill
fireherman
发表于 2017-7-11 19:49:31 | 显示全部楼层
ytysh 发表于 2017-7-11 07:25
怎么知道Live Gird自动上传了?



不是Live Grid上传,而是未收录的都有可能自动上传。

右下角会弹一个窗口:文件XXXXX已经上传到ESET中心提供分析,运运……

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:21 , Processed in 0.101222 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表