Locky （17.9.22）

显示全部楼层 · 发表于 2017-9-22 22:24:29

拉黑

显示全部楼层 · 发表于 2017-9-22 22:29:46

ESET，扫描MISS，云信誉风险。

显示全部楼层 · 发表于 2017-9-22 22:47:57

本帖最后由 zst470396853 于 2017-9-22 23:51 编辑

检测到可疑的文件系统访问，这可能是加密木马。

因为安全原因，G DATA已中断如下进程：
----------------------------------------------------------------
C:\WINDOWS\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe (PID 6592)
D:\Program Files (x86)\SogouInput\8.6.0.1467\SGTool.exe (PID 9300)
D:\Program Files (x86)\Thunder Network\Thunder9\Program\TBC\ThunderBrowser.exe (PID 1372)
C:\Users\Administrator\AppData\Local\Temp\360zip$Temp\360$0\jhdsgvc74\jhdsgvc74.exe (PID 12204)
C:\WINDOWS\Explorer.EXE (PID 5848)
D:\Program Files (x86)\SogouInput\8.6.0.1467\SGTool.exe (PID 9368)
C:\Program Files\360\360safe\safemon\360tray.exe (PID 10948)
D:\Program Files (x86)\360\360se6\Application\360se.exe (PID 1816)
(PID 10624)
D:\Program Files (x86)\Thunder Network\Thunder9\Program\Thunder.exe (PID 2420)
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.8500.40885.0_x64__8wekyb3d8bbwe\HxTsr.exe (PID 5436)
C:\Program Files\360\360safe\netmon\360kis.exe (PID 8432)
C:\Program Files\360\360safe\360safe.exe (PID 3308)
D:\Program Files (x86)\SogouInput\8.6.0.1467\SGTool.exe (PID 9256)
C:\Program Files\360\360safe\safemon\WDSafeDown.exe (PID 5448)
D:\Program Files (x86)\360\360zip\360zip.exe (PID 10744)
(PID 11988)
D:\Program Files (x86)\360\360zip\360zip.exe (PID 8528)
D:\Program Files (x86)\360\360zip\360zip.exe (PID 996)
----------------------------------------------------------------

阻止后，如下程序将被移入隔离区：
----------------------------------------------------------------
C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\minizip.dll
C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLLiveUD.exe
C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\zlib1.dll
C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\libexpat.dll
C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\libpng13.dll
C:\Users\Administrator\Desktop\jhdsgvc74\jhdsgvc74.exe
C:\Users\Administrator\AppData\Local\Temp\360zip$Temp\360$0\jhdsgvc74\jhdsgvc74.exe
C:\360SANDBOX\SHADOW\Users\Administrator\AppData\Local\Temp\360zip$Temp\360$0\jhdsgvc74\jhdsgvc74.exe
----------------------------------------------------------------

检测到可疑行为：
----------------------------------------------------------------
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\FinanceTransTypeCfg.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-970C27FD-2CECF0BA60BC.ykcol
已重命名： G:\360SANDBOX\SHADOW\PGP\Downloads\请勿在此文件夹内存放个人文件.txt -> G:\360SANDBOX\SHADOW\PGP\Downloads\0EJ3ZQX7-5UB7-7AUE-F91ADEC1-14CE40C57812.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\DefaultAppPool.IIS APPPOOL.001\funshion\platFormGuid.txt -> C:\360SANDBOX\SHADOW\Users\DefaultAppPool.IIS APPPOOL.001\funshion\0EJ3ZQX7-5UB7-7AUE-525AD557-0E478BF16911.ykcol
已重命名： C:\360SANDBOX\SHADOW\ProgramData\Apple Computer\iTunes\SC Info\SC Info.txt -> C:\360SANDBOX\SHADOW\ProgramData\Apple Computer\iTunes\SC Info\0EJ3ZQX7-5UB7-7AUE-D4CB140C-6A74A1DA0790.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\PBPFDBUpd.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-AAB0F39E-E8D6BF5856A9.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\PBUsrCfg.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\0EJ3ZQX7-5UB7-7AUE-165B9EFE-795833BB22AE.ykcol
已重命名： C:\360SANDBOX\SHADOW\ProgramData\LogiShrd\Updater\UpdateList.txt -> C:\360SANDBOX\SHADOW\ProgramData\LogiShrd\Updater\0EJ3ZQX7-5UB7-7AUE-C8498158-F671F235A743.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\CMBGuardDll.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-D2082D99-1C93283BDA8D.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\ExpendIncomeCategory.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-D55D88B5-6DB6B1101C69.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\FinanceAccTypCfg.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-235FB53E-01BB3B7FE5D4.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\FinanceInstitutionID.txt -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-66F476E3-73BA6D9DDDA3.ykcol
已创建： C:\Users\Administrator\AppData\Local\Packages\Microsoft.Windows.ShellExperienceHost_cw5n1h2txyewy\AC\Temp\tempfastpassport.ini
已创建： C:\Users\Administrator\AppData\Local\Temp\TFR8BCE.tmp
已创建： C:\$RECYCLE.BIN\S-1-5-21-507503409-2221185643-1569368561-500\$IZFL2TJ
已创建： C:\Users\Administrator\AppData\Local\Temp\avk2211.tmp
已创建： C:\Program Files\360\360safe\deepscan\speedmem2.hg-journal
已创建： C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCookies\0AJTCOYL.cookie
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\cfg4930.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\cfg4931.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\cfg4930.tmp.md5.sgbak
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\user.dat.wtm.sgbak
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\abb49BF.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\dow49C0.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\dic49C1.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\nos49C2.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\abb49BF.tmp\sgim_phrases.bin
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4A4F.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4A4F.tmpAbbrUsrDict20170922154334120
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4A7F.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4A7F.tmpabbrsave120170922154334167
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4A90.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\dow49C0.tmp.zip
WRITE: C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\sgim_phrases.bin.zip
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4B3D.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4B3D.tmpabbrsave120170922154334354
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\Temp\4B4D.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\7899.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF277a91.TMP
已创建： C:\Users\Administrator\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Settings\settings.dat.LOG2
已创建： C:\ProgramData\Microsoft\Windows\AppRepository\Packages\microsoft.windowscommunicationsapps_17.8500.40885.0_x64__8wekyb3d8bbwe\ActivationStore.dat.LOG1
已创建： C:\ProgramData\Microsoft\Windows\AppRepository\Packages\microsoft.windowscommunicationsapps_17.8500.40885.0_x64__8wekyb3d8bbwe\ActivationStore.dat.LOG2
已创建： C:\$RECYCLE.BIN\S-1-5-21-507503409-2221185643-1569368561-500\$ITCQQ0V.7z
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLLiveUD.exe
已创建： C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\T3UDR3O0\PQQJZIAJ.gif
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\msvcp90.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\msvcr90.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\libexpat.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLLuaRuntime.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLGraphic.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLUE.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLBugHandler.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLBugReport.exe
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\atl90.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\Microsoft.VC90.ATL.manifest
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\Microsoft.VC90.CRT.manifest
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\libpng13.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\zlib1.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\XLFSIO.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\xlstat4.dll
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\CloudPlayer\freegcidlist.xml.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\LiveUpdate_stat4.xml
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\LiveUDHelper.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\minizip.dll
已创建： C:\Users\Administrator\AppData\Local\Temp\XLLiveUD\Thunder8_9.1.40.898\cacert.pem
已创建： C:\Users\Administrator\AppData\Local\Temp\Xunlei\CONC16D.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\C311.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF27c42d.TMP
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Program\debug.log
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Program\debug.log
已创建： C:\Users\Administrator\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\587b0131bd07758b673c5bc17a5bc691_fce8395f8fd8a84b_8e177f75ce4af4b6_0_0.toc
已创建： C:\Users\Administrator\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\587b0131bd07758b673c5bc17a5bc691_fce8395f8fd8a84b_8e177f75ce4af4b6_0_0.bin
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\welcome.xml
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\kn_conf.xml.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\XLGameBox-FileCache\data\1506095051502.js.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\XLGameBox-FileCache\data\1506095051818.js.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\XLGameBox-FileCache\config.json
已创建： C:\Users\Administrator\AppData\Local\Temp\XLGameBox-FileCache\data\1506095051951.js.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_qq.png.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_zfb.png.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_sina.png.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_weixin.png.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_renren.png.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_tianyi.png.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\CooperatorImages\xl_xiaomi.png.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\Thunder Network\Thunder7.9\JumpIcon\65b05efa4e0b8f7d4efb52a1.ico
已创建： C:\Users\Administrator\AppData\Local\Temp\Thunder Network\Thunder7.9\JumpIcon\5f0059cb624067094efb52a1.ico
已创建： C:\Users\Administrator\AppData\Local\Temp\Thunder Network\Thunder7.9\JumpIcon\6682505c624067094efb52a1.ico
已创建： C:\Users\Administrator\AppData\Local\Temp\Thunder Network\Thunder7.9\JumpIcon\900051fa8fc596f7.ico
已创建： C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\LREZUEASLFCT895HQPS8.temp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Profiles\Community\UserImages\105195176.jpg.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\AdTaskListTextLink.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\xlloginprompt.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\adwords.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\Adplatform.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\Adtasklist.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\MobileBindingNotify.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\ADBlock.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\windowedtips.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\CommentTip.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\DownloadSDKUpdate.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\VipRenewIcon.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\ReportTask.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\WebShortVideo.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\XLSearch.xar.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\TaskDetailInfoPanelUpdate.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\RightMenu.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\ZipPasswordSharing.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\subtitledownload.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\BigTip.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\livevideodownload.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\downloadtophone.zip.tmp
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\MsgCenterEx.zip.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\~DFA0C396B01D53EEF9.TMP
已创建： C:\Users\Administrator\AppData\Local\Temp\~DFD99F1C3C12D4A4B7.TMP
已创建： D:\Program Files (x86)\Thunder Network\Thunder9\Data\ThunderPush\VipRenewIcon\VipRenewIcon.xar
已创建： D:\Program Files (x86)\360\360se6\User Data\2D07.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Local State~RF282cd9.TMP
已创建： C:\Program Files\360\360safe\config\newui\themes\skinAlpha.ini
已创建： C:\Users\Administrator\AppData\Roaming\360safe\safeid\6334_18467_41_.png
已创建： C:\Program Files\360\360safe\deepscan\speedmem2.hg-journal
已创建： C:\Program Files\360\360safe\Update\safeup_libex64.cab
已创建： C:\Program Files\360\360safe\Update\safeup_libex64.ini
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\9A68.tmp
已创建： C:\Users\Administrator\AppData\Roaming\360safe\Clean\TFR9C7C.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF289c7c.TMP
已创建： C:\Users\Administrator\AppData\Roaming\360safe\Clean\TFR9C8C.tmp
已创建： C:\Program Files\360\360safe\SoftMgr\SoftMgr.db-journal
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095105_6300.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095106_5556.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095108_9588.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095108_6300.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095109_6300.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095109_9588.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095109_232.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095114_5556.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095116_5556.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095116_992.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095117_992.log2
已创建： C:\Users\Administrator\AppData\Roaming\360safe\LogInfo\New360_tmp_1506095117_6020.log2
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\4D4D.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF294d0f.TMP
已创建： C:\Users\Administrator\AppData\Local\Temp\popup.ini.sgbak
已创建： C:\Users\Administrator\AppData\Local\Temp\TFR84D8.tmp
已创建： C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\EG3PLHDH\seupdater[1].gif
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\F873.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF29f833.TMP
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Cache\f_000142
已创建： C:\Users\Administrator\AppData\Local\Temp\5912.tmp
已创建： C:\Users\Administrator\Desktop\jhdsgvc74.7z:Zone.Identifier
已创建： C:\Users\Administrator\AppData\Local\Temp\360se_dcs.wav
已创建： C:\Users\Administrator\AppData\Local\Temp\wd6731.tmp
已创建： C:\Program Files\360\360safe\safemon\filelog.db-journal
已创建： C:\Program Files\360\360safe\deepscan\speedmem2.hg-journal
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\JumpListIcons\713F.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\JumpListIcons\7140.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\JumpListIcons\7141.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\JumpListIcons\7142.tmp
已创建： C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\SBIIZ6B3LALXWVMK4G3X.temp
已创建： C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\fe9a907e1c79cdc6.customDestinations-ms~RF2a70ed.TMP
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\7A2C.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\TransportSecurity~RF2a79d7.TMP
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\7BA4.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF2a7b4e.TMP
已创建： C:\Users\Administrator\Desktop\jhdsgvc74\fab922a8-736e-4cb5-a666-4fd849a3049a.txt
已创建： C:\Users\Administrator\Desktop\jhdsgvc74\fab922a8-736e-4cb5-a666-4fd849a3049a.txt
已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_rP40w3eMJuBd4h8
已创建： C:\Users\Administrator\Desktop\jhdsgvc74\jhdsgvc74.exe
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\InputStaticstics.dat.sgbak
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\B8ED.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF2ab8a5.TMP
已创建： C:\$RECYCLE.BIN\S-1-5-21-507503409-2221185643-1569368561-500\$IUZI7L2.7z
已创建： C:\Users\Administrator\Desktop\fab922a8-736e-4cb5-a666-4fd849a3049a.txt
已创建： C:\Users\Administrator\Desktop\fab922a8-736e-4cb5-a666-4fd849a3049a.txt
已创建： C:\Users\Administrator\Desktop\jhdsgvc74.zip
已创建： C:\Users\Administrator\Desktop\nzpE38D.tmp
已创建： C:\Users\Administrator\Desktop\nzpE38D.tmp
已创建： C:\Users\Administrator\AppData\Roaming\360safe\BackupDesktopIcon\nzpE38D.tmp
已创建： C:\Users\Administrator\AppData\LocalLow\SogouPY.users\00000001\InputStaticstics.dat.sgbak
已创建： C:\$RECYCLE.BIN\S-1-5-21-507503409-2221185643-1569368561-500\$IM6GQW3
已创建： C:\Users\Administrator\AppData\Local\Temp\4C550EAE-5012-45d0-AF46-E89B88648DA8.tmp
已创建： C:\Users\Administrator\AppData\Local\Temp\7A32F7FF-FD61-4c6f-BDC9-D9AB2176A397.cfg
已创建： C:\360SANDBOX\SHADOW\WINDOWS\SXIn.dll
已创建： C:\360SANDBOX\SHADOW\WINDOWS\SXIn64.dll
已创建： C:\360SANDBOX\SHADOW\WINDOWS\SxWrapper.dll
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\AppData\Local\Temp\~DFDF8785B7A15FABCC.TMP
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\AppData\Local\Temp\~DFE8611D7C6B16FA3C.TMP
已创建： C:\360SANDBOX\SHADOW\ProgramData\360zip\speedmem2.hg-journal
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\BA1.tmp
已创建： D:\Program Files (x86)\360\360se6\User Data\Default\Preferences~RF2b0b59.TMP
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\AppData\Local\Temp\360zip$Temp\360$0\fab922a8-736e-4cb5-a666-4fd849a3049a.txt
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\AppData\Local\Temp\360zip$Temp\360$0\jhdsgvc74\jhdsgvc74.exe
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\AppData\Local\Temp\TFR2D0A.tmp
已创建： C:\360SANDBOX\SHADOW\Users\Public\Thunder Network\XMP5\XLGamebox\Program\ykcol-8633.htm
已创建： C:\360SANDBOX\SHADOW\Users\Public\Thunder Network\XMP5\V5.3.1.6065\Program\ykcol-d6d1.htm
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\李亚娇12人.xls -> C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\0EJ3ZQX7-5UB7-7AUE-85A70EA2-0056D754F892.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\0EJ3ZQX7-5UB7-7AUE-85A70EA2-0056D754F892.ykcol
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\ykcol-1978.htm
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\常青.xls -> C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\0EJ3ZQX7-5UB7-7AUE-5ADC92F2-5F31EE7A2EFB.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\0EJ3ZQX7-5UB7-7AUE-5ADC92F2-5F31EE7A2EFB.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\单店加盟申请书-网页版170303.doc -> C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\0EJ3ZQX7-5UB7-7AUE-C0565B6E-EAF580AE7CF6.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\Desktop\照片\0EJ3ZQX7-5UB7-7AUE-C0565B6E-EAF580AE7CF6.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\TRC02.doc -> C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\0EJ3ZQX7-5UB7-7AUE-69AB6C49-EFC5491B880E.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\0EJ3ZQX7-5UB7-7AUE-69AB6C49-EFC5491B880E.ykcol
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\ykcol-a60a.htm
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\TRC01.xls -> C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\0EJ3ZQX7-5UB7-7AUE-20B33FD4-33D7DB50FB52.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\Documents\QQPCMgr\data\config\0EJ3ZQX7-5UB7-7AUE-20B33FD4-33D7DB50FB52.ykcol
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\ykcol-496b.htm
WRITE: G:\360SANDBOX\SHADOW\PGP\Downloads\0EJ3ZQX7-5UB7-7AUE-F91ADEC1-14CE40C57812.ykcol
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\Documents\Tencent Files\328826648\AppWebCache\1\pub.idqqimg.com\qqfind\js\ykcol-8c02.htm
已创建： G:\360SANDBOX\SHADOW\PGP\Downloads\ykcol-da52.htm
已创建： F:\360SANDBOX\SHADOW\IDM6.28.17\ykcol-795f.htm
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\ConfigLocal.db
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\ConfigRemote.db
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\Cert.db
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\CertApply.db
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\SysConfig.db
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\User.db
已创建： F:\360SANDBOX\SHADOW\IDM6.28.17\IDMEdgeExt\ykcol-7670.htm
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\Documents\Tencent Files\370125274\GamePlus_13.db
已创建： F:\360SANDBOX\SHADOW\TDDOWNLOAD\迅雷破解\ykcol-193a.htm
WRITE: C:\360SANDBOX\SHADOW\Users\DefaultAppPool.IIS APPPOOL.001\funshion\0EJ3ZQX7-5UB7-7AUE-525AD557-0E478BF16911.ykcol
WRITE: C:\360SANDBOX\SHADOW\ProgramData\Apple Computer\iTunes\SC Info\0EJ3ZQX7-5UB7-7AUE-D4CB140C-6A74A1DA0790.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-AAB0F39E-E8D6BF5856A9.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\BAGSTOBEDOWNLOADED.TXT -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\0EJ3ZQX7-5UB7-7AUE-C0DB2BB8-2F49A3251CAC.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\0EJ3ZQX7-5UB7-7AUE-C0DB2BB8-2F49A3251CAC.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\0EJ3ZQX7-5UB7-7AUE-165B9EFE-795833BB22AE.ykcol
已创建： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\000001\shortcutmenu.txt
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\FILESTOBEDOWNLOADED.TXT -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\0EJ3ZQX7-5UB7-7AUE-BE5037A9-02D895B50808.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysData\0EJ3ZQX7-5UB7-7AUE-BE5037A9-02D895B50808.ykcol
已创建： C:\360SANDBOX\SHADOW\ProgramData\RaySource\ykcol-c662.htm
已创建： C:\360SANDBOX\SHADOW\ProgramData\icbc_data\ykcol-480d.htm
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\PBPROPS.TXT -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-C0A9363F-4FBCCF90A022.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-C0A9363F-4FBCCF90A022.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\CATEGORY.TXT -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-7F0F52B9-425651184D63.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-7F0F52B9-425651184D63.ykcol
已重命名： C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\CHILDCATEGORY.TXT -> C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-286BEC53-4FEE1A99A8B1.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-286BEC53-4FEE1A99A8B1.ykcol
WRITE: C:\360SANDBOX\SHADOW\ProgramData\LogiShrd\Updater\0EJ3ZQX7-5UB7-7AUE-C8498158-F671F235A743.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-D2082D99-1C93283BDA8D.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-D55D88B5-6DB6B1101C69.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-235FB53E-01BB3B7FE5D4.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-66F476E3-73BA6D9DDDA3.ykcol
WRITE: C:\360SANDBOX\SHADOW\Users\Administrator\CMB\PB40\SysProp\0EJ3ZQX7-5UB7-7AUE-970C27FD-2CECF0BA60BC.ykcol
----------------------------------------------------------------

用户已阻止该操作。

显示全部楼层 · 发表于 2017-9-22 23:41:21

显示全部楼层 · 发表于 2017-9-23 01:08:54

显示全部楼层 · 发表于 2017-9-23 01:29:14

zst470396853 发表于 2017-9-22 22:47
检测到可疑的文件系统访问，这可能是加密木马。

因为安全原因，G DATA已中断如下进程：

这是已经中招后杀掉的？被修改的文件还能回滚吗？

显示全部楼层 · 发表于 2017-9-23 08:49:01

文件名: jhdsgvc74.exe
威胁名称: Ransom.Lukitus完整路径: c:\users\mr chen\desktop\新建文件夹\jhdsgvc74.exe

____________________________

____________________________

在电脑上
2017/9/23 ( 8:47:44 )

上次使用时间
2017/9/23 ( 8:47:44 )

启动项
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

jhdsgvc74.exe 威胁名称: Ransom.Lukitus
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

____________________________

文件操作

文件: c:\users\mr chen\desktop\新建文件夹\ jhdsgvc74.exe 已阻止
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2017-9-23 10:07:15

显示全部楼层 · 发表于 2017-9-23 12:32:49

[病毒样本] Locky （17.9.22）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源