一个bat批处理

显示全部楼层 · 发表于 2014-11-22 17:32:53

蓝天二号发表于 2014-11-22 16:53
还有抽取出的exe？？？

这个就是：

显示全部楼层 · 发表于 2014-11-22 17:34:05

胖福发表于 2014-11-22 17:32
这个就是：

好吧。。。。

显示全部楼层 · 发表于 2014-11-22 17:37:32

诺顿22版SONAR杀衍生物：

文件名: changepassword.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用
____________________________
____________________________
____________________________

changepassword.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。
____________________________

来源: 外部介质

源文件:
cmd.exe

创建的文件:
changepassword.exe
____________________________

文件操作

文件: f:\诺顿样本\ changepassword.exe 威胁已删除
文件: c:\ new.bat 威胁已删除
文件: c:\Users\administrator\AppData\LocalLow\SogouPY\ env.ini 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\ SogouInput.user->Used:1416648664 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\ SogouInput.user->Used:1416648710 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-106302415-2046581659-3325157773-500\Software\ SogouInput.user->Used:1416648720 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\诺顿样本\changepassword.exe, PID:5016) 未采取操作
(执行者 f:\诺顿样本\changepassword.exe, PID:5016) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:5068 (执行者 f:\诺顿样本\changepassword.exe, PID:5016) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:5108 (执行者 f:\诺顿样本\changepassword.exe, PID:5016) 未采取操作
事件: 进程启动: f:\诺顿样本\ changepassword.exe, PID:5016 (执行者 f:\诺顿样本\changepassword.exe, PID:5016) 未采取操作
事件: 进程启动 (执行者 f:\诺顿样本\changepassword.exe, PID:5552) 未采取操作
(执行者 f:\诺顿样本\changepassword.exe, PID:5552) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:5576 (执行者 f:\诺顿样本\changepassword.exe, PID:5552) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:5616 (执行者 f:\诺顿样本\changepassword.exe, PID:5552) 未采取操作
事件: 进程启动: f:\诺顿样本\ changepassword.exe, PID:5552 (执行者 f:\诺顿样本\changepassword.exe, PID:5552) 未采取操作
事件: 进程启动 (执行者 f:\诺顿样本\changepassword.exe, PID:4276) 未采取操作
(执行者 f:\诺顿样本\changepassword.exe, PID:4276) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:4220 (执行者 f:\诺顿样本\changepassword.exe, PID:4276) 未采取操作
事件: 进程启动: c:\Windows\System32\ cmd.exe, PID:4544 (执行者 f:\诺顿样本\changepassword.exe, PID:4276) 未采取操作
事件: 进程启动: f:\诺顿样本\ changepassword.exe, PID:4276 (执行者 f:\诺顿样本\changepassword.exe, PID:4276) 未采取操作
____________________________

可疑操作

事件: 击键捕获 (执行者 f:\诺顿样本\changepassword.exe, PID:4276) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2014-11-22 17:39:00

趋势科技miss
dr.web kill

显示全部楼层 · 发表于 2014-11-22 17:45:17

胖福发表于 2014-11-22 17:32
这个就是：

趋势把你这个文件秒了

显示全部楼层 · 发表于 2014-11-22 17:47:22

[mw_shl_code=css,true]"";"可能是受感染的 BAT/Starter, C:\Users\hh\Desktop\穿越火线刷枪外{过}{滤}挂v1.4.3.bat";"恶意文件"
[/mw_shl_code]

显示全部楼层 · 发表于 2014-11-22 18:15:45

本帖最后由真小读者于 2014-11-22 18:40 编辑

蓝天二号发表于 2014-11-22 16:41
你这个说法，，是三个都KILL？？？？还是........

显示全部楼层 · 发表于 2014-11-22 18:37:18

显示全部楼层 · 发表于 2014-11-22 19:12:31

360杀 Trojan.Generic

显示全部楼层 · 发表于 2014-11-22 19:22:57

蜘蛛杀，好像是贴吧18号发的帖里面的

[病毒样本] 一个bat批处理

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源