请问这是什么检测方式？

pal家族

文件名: 36.exe
威胁名称: Suspicious.Zlob完整路径: d:\360极速浏览器下载\test\36.exe

____________________________

____________________________



____________________________


36.exe 威胁名称: Suspicious.Zlob
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
36.exe

____________________________

文件操作

文件: d:\360极速浏览器下载\test\ 36.exe 已删除
文件: c:\users\public\desktop\ best bdsm p0rn.url 已删除
文件: c:\users\public\desktop\ gay fetish sex.url 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 已修复
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 已修复
注册表更改: HKEY_USERS\S-1-5-21-3690998936-2909534726-1844083766-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ->NoFolderOptions:0 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->aux2:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->midi2:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->mixer2:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->wave2:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit:C:\Windows\SysWOW64\ Userinit.exe 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ ->System 已修复
注册表更改: HKEY_USERS\S-1-5-21-3690998936-2909534726-1844083766-1000\Software\Microsoft\Internet Explorer\New Windows\ ->PopupMgr:yes 已修复
注册表更改: HKEY_USERS\S-1-5-21-3690998936-2909534726-1844083766-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->Hidden:1 已修复
注册表更改: HKEY_USERS\S-1-5-21-3690998936-2909534726-1844083766-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->HideFileExt:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-3690998936-2909534726-1844083766-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ->SuperHidden:1 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->aux1:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->wave1:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->midi1:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\ ->mixer1:wdmaud.drv 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ system->DisableTaskMgr:0 已修复
____________________________


文件指纹 - SHA:
85639ca321c97248357f4db5b84f8572ad7968ee6ded2b885995fa65d5e4af45
文件指纹 - MD5:
不可用



名字并不是sonar，似乎是无意间运行了一个样本（自己不知道有没有双击），然后弹出处理了一个风险。
我去查看，发现这玩意，看起来像是sonar，有回滚，但报毒名像是云杀~

这是主防与云联动，即时反馈威胁信息，然后回滚吗？
我又想起了UDS dangerouspattern了

sunnyjianna

传说中的唢呐？？容我先水一下

bbszy

没运行的也会有修复流程。在历史纪录里会显示检测方。

bbszy

没运行的也会有修复流程。在历史纪录里会显示检测方。

bbszy

没运行的也会有修复流程。在历史纪录里会显示检测方。

pal家族

好神奇，我真不知道它有没有运行起来过@驭龙

欧阳宣

实时监控报的就没有运行吧，然后这也不是sonar，不然都是以sonar开头的

驭龙

pal家族 发表于 2015-6-22 09:53
好神奇，我真不知道它有没有运行起来过@驭龙

应该是正常的启发或者云启发这类啊，没啥特别的
http://www.symantec.com/security ... 3056-99&tabid=2

诺顿就这个样子的，只要发现威胁，不管是否运行都给你撤销一次样本的行为

pal家族

驭龙 发表于 2015-6-22 10:24
应该是正常的启发或者云启发这类啊，没啥特别的
http://www.symantec.com/security_response/writeup.js ...

问题是：就这一个有类似回滚的操作
同一个样本包的其他变种都单单删除了源文件

驭龙

pal家族 发表于 2015-6-22 10:26
问题是：就这一个有类似回滚的操作
同一个样本包的其他变种都单单删除了源文件

是的，诺顿有时候就这样玩，重启动之前再扫描这个，好像也是不修复的，它属于自动化抽风式处理，有时候有有时候没有