不知道是不是 CryptoWall 3.0（双击有人气）

显示全部楼层 · 发表于 2015-10-30 18:20:46

请叫我德玛西亚发表于 2015-10-30 18:19
???????怎么我的没有杀第一次运行报错

win10？
下载丢包？
······都有可能。。。

显示全部楼层 · 发表于 2015-10-30 18:21:13

pal家族发表于 2015-10-30 18:20
win10？
下载丢包？
······都有可能。。。

xp.....

显示全部楼层 · 发表于 2015-10-30 18:21:57

请叫我德玛西亚发表于 2015-10-30 18:21
xp.....

64位的病毒？

显示全部楼层 · 发表于 2015-10-30 18:22:17

ELOHIM 发表于 2015-10-30 18:03
微软 1.209.968.0：MISS.

双击了吗？如果是SCEP 4.8双击会不会有什么好玩的？

显示全部楼层 · 发表于 2015-10-30 18:22:59

驭龙发表于 2015-10-30 18:22
双击了吗？如果是SCEP 4.8双击会不会有什么好玩的？

没有双击额。。
一会虚拟机试试。

显示全部楼层 · 发表于 2015-10-30 18:23:08

pal家族发表于 2015-10-30 18:21
64位的病毒？

有可能看5l我的报错

显示全部楼层 · 发表于 2015-10-30 18:32:27

avast

显示全部楼层 · 发表于 2015-10-30 18:32:47

本帖最后由毛豆新人于 2015-10-31 10:34 编辑

CIS右键扫描miss

metascan初扫（昨天晚上已有人扫过）全过  https://www.metascan-online.com/ ... 560edd19571/regular
               二扫 4/44 报毒 https://www.metascan-online.com/ ... f02292a7b67/regular

毛豆在线沙盘  http://camas.comodo.com/cgi-bin/ ... 472572beb0c6c4cc778
鉴定结果： Suspicious++（非常可疑）

添加自启动：
CU\Software\Microsoft\Windows\CurrentVersion\Run\1ae1929 "C:\1ae1929f\1ae1929f.exe"
CU\Software\Microsoft\Windows\CurrentVersion\Run\1ae1929f "C:\Documents and Settings\User\Application Data\1ae1929f.exe"

删除自己： C:\TEST\sample.exe

怎么这么多旅行社网址，随机的？：allreadytravel.com， all-inclusiveresortstravel.com， cruiseandtravel.agency， cruisewithdawn.com， cruises-travelandmore.com， destinycruiseandtravel.com， bigboattravel.com， cruisingatdawn.com... ...

DNS查询：
ip-addr.es IN A +
myexternalip.com IN A +
curlmyip.com IN A +
chuckwhitlock.com IN A +
camirate.com IN A +
breathtakingsolutions.com IN A +
agentclicktocall.com IN A +
destinycruiseandtravel.com IN A +
benediktas.com IN A +
tarkshyainc.com IN A +
cruisetravelpros.com IN A +
brindegenie.com IN A +
cruisewithdawn.com IN A +
cameroonmarket.com IN A +
bloccailmutuo.com IN A +
certifiedphytoceramides.com IN A +
designtravelagency.com IN A +
ciiapparelblog.com IN A +
cpasolutiononline.com IN A +
dallascircuitbreakers.com IN A +
breakerhub.com IN A +
biznal.com IN A +
superfunshoes.com IN A +
armangarzon.info IN A +
allreadytravel.com IN A +
dallascircuitbreaker.com IN A +
anunciamicasa.com IN A +
0tv.co IN A +
aprovechatudia.com IN A +
ameliastyle.com IN A +
carltonchambers.co.uk IN A +
abettertravelagent.com IN A +
airconditioning12601.com IN A +
designingartinstitute.com IN A +
boilersandfurnaces.com IN A +
colebar.com IN A +
all-inclusiveresortstravel.com IN A +
abettertravelagency.com IN A +
beachhouseplans.com IN A +
dallaselectricalsurplus.com IN A +
allgroupstravel.com IN A +
designbrossard.com IN A +
circuitbreakerhub.com IN A +
cruiseandtravel.agency IN A +
cruises-travelandmore.com IN A +
cruisingatdawn.com IN A +
bigboattravel.com IN A +
dawat-restaurant.com IN A +
dallasreconditionedtransformers.com IN A +
anabolicsteroidsrx.com IN A +
dallascircuitbreaker.co IN A +
enterrealtyny.com IN A +
cywellness.com IN A +
dangerousgarciniacambogia.com IN A +

http请求：太长略去

显示全部楼层 · 发表于 2015-10-30 18:33:29

驭龙发表于 2015-10-30 18:22
双击了吗？如果是SCEP 4.8双击会不会有什么好玩的？

Ransom:Win32/Crowti.A

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
process:pid:2656,ProcessStart:130906744713663552

联机获取此项的详细信息。

微软双击结果。

显示全部楼层 · 发表于 2015-10-30 18:36:14

ELOHIM 发表于 2015-10-30 18:33
Ransom:Win32/Crowti.A

类别: 特洛伊木马

动态启发式分析果然还是有效果

[病毒样本] 不知道是不是 CryptoWall 3.0（双击有人气）

本帖子中包含更多资源

本帖子中包含更多资源

评分