同学电脑里的三个玩意~

显示全部楼层 · 发表于 2017-8-10 09:43:58

解压密码皆为123
1：
2：
3：还有一个比较大直接上网盘
http://pan.stnts.com/s/pK647CC
求分析蟹蟹

附上小a~

显示全部楼层 · 发表于 2017-8-10 10:08:42

本帖最后由 XZ8SM7Sx0bVkoUV 于 2017-8-10 10:42 编辑

火绒kill all

显示全部楼层 · 发表于 2017-8-10 10:15:22

第一个和第二个卡巴KILL
第三个下载时被Windows 拦截

显示全部楼层 · 发表于 2017-8-10 10:28:51

kill 1x

显示全部楼层 · 发表于 2017-8-10 10:43:32

1·2解压秒
3，太大了，不下载了

avast

显示全部楼层 · 发表于 2017-8-10 11:25:31

本帖最后由左手于 2017-8-10 11:27 编辑

没有发现。自动退出。
2017-8-10 11:25:13 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /t /im ZhuDongFangYu.exe
规则: [应用程序]?* -> [子应用程序]c:\windows\system32\taskkill.exe

2017-8-10 11:25:13 创建文件风险级别:未知允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-10_112507.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-10 11:25:14 创建新进程风险级别:未知阻止
进程: c:\windows\system32\taskkill.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]c:\windows\* -> [子应用程序]→a002_《不受信任组》_潜在不受欢迎的木马病毒 -> [应用程序]*\conime.exe

2017-8-10 11:25:15 修改文件夹权限风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: C:\WINDOWS\system32
规则: [应用程序组]→a999_★《临时规则_安装软件》★ -> [文件]?:\*

2017-8-10 11:25:15 创建文件风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: C:\WINDOWS\MyInformations.ini
规则: [文件组]《允许》f920_创建ini -> [文件]c:\windows; *.ini

2017-8-10 11:25:15 修改文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: C:\WINDOWS\FuckYou.txt
规则: [应用程序组]→a999_★《临时规则_安装软件》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]*; *.txt

2017-8-10 11:25:15 用配置文件替换注册表项风险级别:高阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\FuckYou
配置单元: C:\WINDOWS\FuckYou.txt
规则: [应用程序]*

2017-8-10 11:25:25 删除文件风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: C:\WINDOWS\FuckYou.txt
规则: [应用程序组]→a999_★《临时规则_安装软件》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]*; *.txt

2017-8-10 11:25:25 创建文件风险级别:未知允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-10_112519.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-10 11:25:25 用配置文件替换注册表项风险级别:高阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
配置单元: C:\WINDOWS\FuckYou.txt
规则: [应用程序]*

2017-8-10 11:25:32 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Description
值:
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services

2017-8-10 11:25:32 创建文件风险级别:未知允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-10_112529.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-10 11:25:32 创建注册表项风险级别:中阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\Parameters
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\System\*ControlSet*\Services*

2017-8-10 11:25:38 创建注册表项风险级别:中阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Parameters
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services

2017-8-10 11:25:38 创建文件风险级别:未知允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-10_112536.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-10 11:25:43 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Load_Path
值:
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services

2017-8-10 11:25:43 创建文件风险级别:未知允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-10_112542.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

2017-8-10 11:25:49 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\gfnkdbg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConnectGroup
值:
规则: [注册表组]r080_服务 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services

2017-8-10 11:25:49 创建文件风险级别:未知允许
进程: d:\program files\fscapture8.4_chs\fscapture.exe
目标: C:\Documents and Settings\Administrator\桌面\2017-08-10_112547.jpg
规则: [应用程序组]a028_《低防御模式》_ProgramData -> [文件]c:\documents and settings\*\桌面\*

显示全部楼层 · 发表于 2017-8-10 12:46:59

FSCS
1、2全杀，
3太大了，网速慢，不下了

显示全部楼层 · 发表于 2017-8-10 12:53:50

前2个第三个太大就不测了

显示全部楼层 · 发表于 2017-8-10 19:17:08

WD kill 1x (Backdoor:Win32/Zegost）
另一个给comodo 杀掉了（ worm.win32.Dropper.RA@1）

大文件不测了，网盘下载速度太慢

[可疑文件] 同学电脑里的三个玩意~

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源