邮箱收到的，，

显示全部楼层 · 发表于 2017-8-22 22:58:01

安天 miss
毒霸 miss
哈勃https://habo.qq.com/file/showdetail?pk=ADAGZV1lB2UIPls1

显示全部楼层 · 发表于 2017-8-22 23:14:53

2017/8/22 星期二 23:13:12 加载动态链接库风险级别:中允许
进程: c:\users\administrator\appdata\local\temp\dfhurhafrsc.tmp
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2017/8/22 星期二 23:13:12 修改注册表值风险级别:未知阻止
进程: c:\users\administrator\appdata\local\temp\dfhurhafrsc.tmp
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\CachePrefix
值:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/8/22 星期二 23:13:12 修改注册表值风险级别:未知阻止
进程: c:\users\administrator\appdata\local\temp\dfhurhafrsc.tmp
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\8c-f2-28-ef-c2-8a\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/8/22 星期二 23:13:12 修改注册表值风险级别:未知阻止
进程: c:\users\administrator\appdata\local\temp\dfhurhafrsc.tmp
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{368B14D2-EE34-4834-A403-008DC886D9F3}\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/8/22 星期二 23:13:26 访问网络允许
进程: c:\users\administrator\appdata\local\temp\dfhurhafrsc.tmp
目标: TCP [本机 : 49338] -> [183.61.49.202 : 80 (http)]
规则: [应用程序]*.tmp -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017/8/22 星期二 23:13:27 修改注册表值风险级别:未知阻止
进程: c:\users\administrator\appdata\local\temp\dfhurhafrsc.tmp
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\CachePrefix
值:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

显示全部楼层 · 发表于 2017-8-23 08:11:15

第一个

08:10:24[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：1.5.0.0

08:10:24[2]：(允许)读取文件：\\.\HR::DTrampo    访问权限：268435456

08:10:24[3]：(允许)写入文件：C:\Users\Administrator\Desktop\File_Analysis\File_safe\我司启用五证合一新开票资料 (3).exe

08:10:24[4]：(允许)读取文件：C:\Users\Administrator\Desktop\File_Analysis\File_safe\我司启用五证合一新开票资料 (3).exe    访问权限：-2147483648

08:10:28[5]：(阻止)窗口操作：最前显示窗口

08:10:28[6]：(允许)查找文件：C:\Users\ADMINI~1\AppData\Local\Temp\DFHURHAFRSC.tmp

08:10:28[7]：(允许)复制文件：C:\Users\Administrator\Desktop\File_Analysis\File_safe\我司启用五证合一新开票资料 (3).exe    复制至：C:\Users\ADMINI~1\AppData\Local\Temp\DFHURHAFRSC.tmp

08:10:30[8]：(阻止)创建进程：C:\Users\ADMINI~1\AppData\Local\Temp\DFHURHAFRSC.tmp

08:10:30[9]：(允许)程序退出：File_Analysis 行为记录到此为止

显示全部楼层 · 发表于 2017-8-23 08:16:38

第二个

08:15:57[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：1.5.0.0

08:15:57[2]：(允许)读取文件：\\.\HR::DTrampo 访问权限：268435456

08:15:57[3]：(允许)写入文件：C:\Users\Administrator\Desktop\File_Analysis\File_safe\合同付款协议及收支表明细 (3).exe

08:15:57[4]：(允许)读取文件：C:\Users\Administrator\Desktop\File_Analysis\File_safe\合同付款协议及收支表明细 (3).exe 访问权限：-2147483648

08:16:01[5]：(阻止)窗口操作：最前显示窗口

08:16:01[6]：(允许)查找文件：C:\Users\ADMINI~1\AppData\Local\Temp\DFHURHAFRSC.tmp

08:16:01[7]：(阻止)创建进程：C:\Users\ADMINI~1\AppData\Local\Temp\DFHURHAFRSC.tmp

08:16:01[8]：(允许)程序退出：File_Analysis 行为记录到此为止

显示全部楼层 · 发表于 2017-8-23 08:30:02

360 kill

显示全部楼层 · 发表于 2017-8-23 11:14:38

微点MISS

显示全部楼层 · 发表于 2017-8-23 13:40:06

估计对方是想盗取你们公司的私密信息。才会用这样的方法。

显示全部楼层 · 发表于 2017-8-23 19:04:38

pigshead 发表于 2017-8-23 13:40
估计对方是想盗取你们公司的私密信息。才会用这样的方法。

发给会计的，，说是他们公司启用了这套系统，，会计一打开发现是exe，，，，一般都是txt，，一看就不对了，。，，，

显示全部楼层 · 发表于 2017-8-25 13:33:05

蓝天二号发表于 2017-8-22 20:41
求双击，，，

BDTS 2018双击ATC杀

[病毒样本] 邮箱收到的，，

本帖子中包含更多资源

本帖子中包含更多资源