本帖最后由 消停 于 2014-5-22 12:39 编辑
99号样本双击后重启计算机,重启后诺顿回滚病毒!
文件名: wgncw.exe
威胁名称: SONAR.ProcHijack!gen5
完整路径: 不可用
____________________________
详细信息
极少用户信任的文件, 极新的文件, 风险 高
原始
下载自
未知
活动
已执行的操作: 24
____________________________
在电脑上的创建时间
2014-5-22 ( 11:39:43 )
上次使用时间
2014-5-22 ( 11:39:43 )
启动项目
是
已启动
是
____________________________
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源: 外部介质
____________________________
文件操作
文件: c:\users\administrator\appdata\roaming\identities\wgncw\ wgncw.exe 已删除
文件: c:\users\administrator\appdata\roaming\ c731200 已删除
文件: f:\安卓病毒样本\ 099(tracking #38389412).exe 已删除
事件: 正在运行进程: c:\users\administrator\appdata\roaming\identities\wgncw\ wgncw.exe 已终止
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\ Run->Windows Update 已删除
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run->Windows Update 已删除
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\ WindowsId Manager Reader->CFlagc000100:1 已修复
注册表更改: HKEY_USERS\S-1-5-21-1071228153-3121885108-811120218-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run->Windows Update:"C:\Users\Administrator\AppData\Roaming\Identities\wgncw\ wgncw.exe" -shell 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->ConsentPromptBehaviorAdmin:0 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->ConsentPromptBehaviorUser:1 已修复
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2592) 未采取操作
事件: 进程启动: c:\Windows\System32\ svchost.exe, PID:2704 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2628) 未采取操作
事件: 进程启动: c:\program files\影子宝\ yzbg.exe, PID:2716 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2592) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\identities\wgncw\ wgncw.exe, PID:2724 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2628) 未采取操作
事件: 进程启动: c:\Windows\System32\ calc.exe, PID:2760 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2628) 未采取操作
事件: 进程启动: c:\program files\windows media player\ wmprph.exe, PID:2796 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2628) 未采取操作
事件: 进程启动: c:\Windows\System32\ mctadmin.exe, PID:2824 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2592) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\ c731200 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2628) 未采取操作
事件: 进程启动: c:\program files\360Amigo\ 360Amigo.exe, PID:3144 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2592) 未采取操作
事件: 进程启动: c:\program files\sogouinput\components\sgimeguard\1.0.0.21\ sgimeguard.exe, PID:3152 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2592) 未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2628) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:3676) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:3300) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\administrator\appdata\roaming\identities\wgncw\wgncw.exe, PID:2904) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
|
发表于 2014-5-22 09:14:27
