Detection ratio: 1 / 44 监视剪贴版变更、截取屏幕 ……极品

显示全部楼层 · 发表于 2015-11-30 21:02:43

SHA256: 3763f09f26dbe26ba8000b69a1821bf1f3c12409ef83c4af81e249ef67da91f4
File name: 454sd.exe
Detection ratio: 1 / 44
Analysis date: 2015-11-30 12:57:31 UTC ( 4 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1448888251/

2015/11/30 20:58:03,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\11\454sd.exe" )

2015/11/30 20:58:07,C:\Users\AAAAA\Desktop\11\454sd.exe,24,Blocked ;监视剪贴版变更

2015/11/30 20:58:14,C:\Users\AAAAA\Desktop\11\454sd.exe,22,Blocked ;截取屏幕

2015/11/30 20:58:24,C:\Users\AAAAA\Desktop\11\454sd.exe,50,Allowed ;使用 DNS 解析服务访问网络
2015/11/30 20:58:28,C:\Users\AAAAA\Desktop\11\454sd.exe,48,Allowed ;出站网络访问

2015/11/30 20:58:43,C:\Users\AAAAA\Desktop\11\454sd.exe,40,Blocked ;以修改权限打开进程或线程 (explorer.exe(pid=644))

显示全部楼层 · 发表于 2015-11-30 23:47:54

本帖最后由君陌潇于 2015-12-1 00:03 编辑

双击后没反应 GD防火墙拦截

被应用监控阻止放行后

AVA 25.4591
GD 25.5952

*** 进程 ***

进程: 9808
文件名: 454sd.exe
路径: c:\users\natsukihanae\desktop\454sd.exe

发行商：: 未知发行商
创建日期: 11/30/15 15:45:23
修改日期: 11/30/15 12:57:17

启动进程：: explorer.exe
发行商：: Microsoft Windows

*** 操作 ***

另一程序已打开此文件，进程无法继续。
一个未知进程访问了。
该程序试图删除其自身的程序文件。
程序已挟持其它程序以删除自身文件。

*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\NatsukiHanae\Desktop\454sd.exe
c:\users\natsukihanae\appdata\local\microsoft\smartscreen\arc5944.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn1528.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn1529.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn152a.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn152b.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn153c.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn153d.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn153e.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn153f.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn1540.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn1541.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn1542.tmp
c:\users\natsukihanae\appdata\local\microsoft\windows\explorer\iconcachetodelete\icn1543.tmp
c:\users\natsukihanae\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-2533445751-2411481644-359974300-1001\4bedd97c57f3e1a28813cb5be726889e_f5fd803f-a4e7-4f8a-8dc7-7f930a45620b
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\454sd.rar.lnk
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\automaticdestinations\5bb830f67194431a.automaticdestinations-ms
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\automaticdestinations\5f7b5f1e01b83767.automaticdestinations-ms
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\automaticdestinations\9b9cdc69c1c24e2b.automaticdestinations-ms
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\automaticdestinations\f01b4d95cf55d32a.automaticdestinations-ms
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\qq截图20151130234705.png.lnk
c:\users\natsukihanae\appdata\roaming\microsoft\windows\recent\新建文本文档.txt.lnk

下列注册表项被删除：

\registry\user\s-1-5-21-2533445751-2411481644-359974300-1001\software\microsoft\windows\currentversion\explorer\clsid\96a4d677-e417-2009-35a8-998bcd696efc\shellfolder || 1d12b873ebe1316
\registry\user\s-1-5-21-2533445751-2411481644-359974300-1001\software\microsoft\windows\currentversion\explorer\clsid\ff728e56-0181-87bc-90b4-3d1d2ff9dab2\shellfolder || 1d12b873f9511c4

YGLhz5KKsHKC/nKC/mJiwHKScpJiYtBygiknLie34HKSLCe5cnJwKnRyQicnJga3cnJycmJikCsW/iyJCelygmJicoKgLCcoJiYnCJtyomJicqLAKicoJycnB49yciYnZ2JicGZyciYnZ2JicIZyciYnZ2JicLhycismJie3cNhycnJyYmJw+XKycrJiYnC6orE1ZiwoGJo1ZisnGltjxnJw23JycnJiYnD7cnJycmJicOxygmJicoJw/HKCYmJygnCOcoKvcJ9y4nLiYmKAlnKCgKdycgYA
规则版本： 5.0.71
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\NatsukiHanae\Desktop\454sd.exe"
MD5: 495D47EEDDE6566A12B74C652857887E
C:\WINDOWS\Explorer.EXE
MD5:

显示全部楼层 · 发表于 2015-11-30 21:05:16

数字右键杀

显示全部楼层 · 发表于 2015-11-30 21:06:04

eset过

显示全部楼层 · 发表于 2015-11-30 21:12:56

本帖最后由 pal家族于 2015-11-30 21:19 编辑

卡巴再次被虐
双击准备再次被虐，进行中

无法防御，文件运行之后过一会自动退出，产生了极少的流量

显示全部楼层 · 发表于 2015-11-30 21:21:21

SUD to BAV

显示全部楼层 · 发表于 2015-11-30 21:22:36

pal家族发表于 2015-11-30 21:12
卡巴再次被虐
双击准备再次被虐，进行中

破网吧，没连过去

显示全部楼层 · 发表于 2015-11-30 21:25:24

墨家小子发表于 2015-11-30 21:22
破网吧，没连过去

也有可能被wall了
太原电信。。。

显示全部楼层 · 发表于 2015-11-30 21:31:59

红伞检测： TR/Crypt.ZPACK.Gen4

显示全部楼层 · 发表于 2015-11-30 22:29:06

样本被拉黑。。。。
快一个小时多好。。。。就不用测试了

显示全部楼层 · 发表于 2015-11-30 22:41:51

pal家族发表于 2015-11-30 22:29
样本被拉黑。。。。
快一个小时多好。。。。就不用测试了

UDS 的意思究竟是不是像数字那样的纯拉黑？

Emsisoft 没反应，打算召唤卡巴清了它

[可疑文件] Detection ratio: 1 / 44 监视剪贴版变更、截取屏幕 ……极品

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块