某桃的文件

显示全部楼层 · 发表于 2015-6-6 23:08:35

早就发现这货耍流氓了，坚决抵制永久加黑！

显示全部楼层 · 发表于 2015-6-6 23:31:22

文件名: xmiqfk012.exe
威胁名称: Trojan.Gen完整路径: e:\vir\xmiqfk\xmiqfk012.exe

____________________________

____________________________

____________________________

xmiqfk012.exe 威胁名称: Trojan.Gen
定位

少量用户信任的文件
诺顿社区中有数百名用户使用了此文件。

发布已久的文件
该文件已在 1 年前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

____________________________

文件操作

文件: e:\vir\xmiqfk\ xmiqfk012.exe 已阻止
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-6-7 01:17:25

不是啥好东西，杀掉算了
[mw_shl_code=css,true]2015/6/7 1:02:42,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\as98e4f\Desktop\Xmiqfk012.exe" )
2015/6/7 1:02:50,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\as98e4f\Desktop\Xmiqfk012.exe" )
2015/6/7 1:03:40,C:\Users\as98e4f\Desktop\Xmiqfk012.exe,53,Allowed ;执行应用程序 (C:\Users\as98e4f\AppData\Local\Temp\~zFavUrl.Ex_ -y -o"C:\Users\as98e4f\Favorites")
2015/6/7 1:03:41,C:\Windows\System32\SearchIndexer.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe5_ Global\UsGthrCtrlFltPipeMssGthrPipe5 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microso)
2015/6/7 1:03:41,C:\Windows\System32\SearchIndexer.exe,53,Allowed ;执行应用程序 ("C:\Windows\system32\SearchFilterHost.exe" 0 524 528 536 65536 532 )
2015/6/7 1:04:21,C:\Users\as98e4f\Desktop\Xmiqfk012.exe,53,Allowed ;执行应用程序 (C:\Windows\system32\cmd.exe /c C:\Users\as98e4f\AppData\Local\Temp\fbinst.dll "C:\Windows\Xmiqfk\SUPPORT.IM_" output IMG/* %~nx)
2015/6/7 1:04:21,C:\Windows\System32\csrss.exe,53,Allowed ;执行应用程序 (\??\C:\Windows\system32\conhost.exe)
2015/6/7 1:04:23,C:\Windows\System32\conhost.exe,52,Allowed ;修改属于其它进程的窗口的属性 (cmd.exe(pid=3548))
2015/6/7 1:04:24,C:\Windows\System32\conhost.exe,52,Allowed ;修改属于其它进程的窗口的属性 (cmd.exe(pid=3548))
2015/6/7 1:05:45,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (C:\Users\as98e4f\AppData\Local\Temp\fbinst.dll  "C:\Windows\Xmiqfk\SUPPORT.IM_" output IMG/* %~nx)
2015/6/7 1:06:28,C:\Users\as98e4f\Desktop\Xmiqfk012.exe,53,Allowed ;执行应用程序 (C:\Windows\system32\cmd.exe /c ping 127.1 -n 50&reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "www.hao123.com.sg" /f&reg delete "HKCU\Software\Policies\Microsoft\Internet Explorer\Main" /v "Start Page" /f&reg delete "HKCU\Softwar)
2015/6/7 1:06:30,C:\Windows\System32\conhost.exe,52,Allowed ;修改属于其它进程的窗口的属性 (cmd.exe(pid=2760))
2015/6/7 1:06:31,C:\Windows\System32\conhost.exe,52,Allowed ;修改属于其它进程的窗口的属性 (cmd.exe(pid=2760))
2015/6/7 1:06:37,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (ping  127.1 -n 50)
2015/6/7 1:06:41,C:\Windows\System32\PING.EXE,48,Allowed ;出站网络访问
2015/6/7 1:07:22,C:\Users\as98e4f\Desktop\Xmiqfk012.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Internet Explorer\Main,Start Page)
2015/6/7 1:07:45,C:\Users\as98e4f\Desktop\Xmiqfk012.exe,53,Allowed ;执行应用程序 (C:\Windows\system32\cmd.exe /c ping 127.1 -n 3&del /q "C:\Users\as98e4f\Desktop\Xmiqfk012.exe")
2015/6/7 1:07:54,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (reg  add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "www.hao123.com.sg" /f)
2015/6/7 1:07:56,C:\Windows\System32\conhost.exe,52,Allowed ;修改属于其它进程的窗口的属性 (cmd.exe(pid=1620))
2015/6/7 1:07:59,C:\Windows\System32\reg.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Internet Explorer\Main,Start Page)
2015/6/7 1:08:00,C:\Windows\System32\conhost.exe,52,Allowed ;修改属于其它进程的窗口的属性 (cmd.exe(pid=1620))
2015/6/7 1:08:09,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (reg  delete "HKCU\Software\Policies\Microsoft\Internet Explorer\Main" /v "Start Page" /f)
2015/6/7 1:08:14,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (ping  127.1 -n 3)
2015/6/7 1:08:19,C:\Windows\System32\cmd.exe,53,Allowed ;执行应用程序 (reg  delete "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /f)
2015/6/7 1:08:22,C:\Windows\System32\PING.EXE,48,Allowed ;出站网络访问
[/mw_shl_code]

显示全部楼层 · 发表于 2015-6-8 10:33:19

mu920450 发表于 2015-6-6 11:06
不是推荐过风之咩的concise 吗，还用老毛桃阿啊

没有再用用老毛桃啊，只不过是以前用的，

显示全部楼层 · 发表于 2015-6-8 20:57:44

狐狸糊涂发表于 2015-6-8 10:43
昨天用了一天,好几次的样本都是没法进沙盒,要第二次或第三次才行.今天改用趋势...综合症发作了

综合症？我是强迫症，BD感觉报的很少，就是我用了格式工厂剪视频，给报了其中一个东西，导致我无法剪辑，只能转格式

显示全部楼层 · 发表于 2015-6-9 20:10:03

Thank you for your submission.
The detection for this threat will be included in our next signature update, expected update: 11758.

Xmiqfk012.exe - Win32/Autoit.NVW trojan

Regards,

ESET Malware Response Team

[病毒样本] 某桃的文件

本帖子中包含更多资源

浏览过的版块