Detection ratio: 2 / 55 这马挂的也是没谁了……累死亲了

墨家小子

SHA256:        3579e77f8f7f5064add8923b4eb16ffce2f527cda26ecbab8559be2d0e5a9c8a
File name:        7F25.tmp.exe
Detection ratio:        2 / 55
Analysis date:        2015-11-30 13:36:42 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1448890602/









+++++++++++++++++++++++++++++++++++























++++++++++++++++++++++++++++++++++

2015/11/30 21:32:54,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序

(C:\Users\AAAAA\AppData\Local\Temp\Low\7F25.tmp.exe)

2015/11/30 21:32:57,C:\Users\AAAAA\AppData\Local\Temp\Low\7F25.tmp.exe,47,Allowed ;创建交换数

据流 (C:\Users\AAAAA\AppData\Local\Temp\Low\hsckcecr.exe:Zone.Identifier)

2015/11/30 21:33:38,C:\Users\AAAAA\AppData\Local\Temp\Low\7F25.tmp.exe,53,Allowed ;执行应用程

序 (C:\Users\AAAAA\AppData\Local\Temp\Low\hsckcecr.exe)

2015/11/30 21:34:07,C:\Program Files (x86)\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序

(C:\Users\AAAAA\AppData\Local\Temp\Low\E9E1.tmp.exe)

2015/11/30 21:34:25,C:\Users\AAAAA\AppData\Local\Temp\Low\hsckcecr.exe,53,Blocked ;执行应用程

序 (C:\windows\system32\svchost.exe)

2015/11/30 21:34:37,C:\Users\AAAAA\AppData\Local\Temp\Low\E9E1.tmp.exe,47,Allowed ;创建交换数

据流 (oyjawytm.exe:Zone.Identifier)

2015/11/30 21:34:48,C:\Users\AAAAA\AppData\Local\Temp\Low\hsckcecr.exe,53,Blocked ;执行应用程

序 (C:\windows\system32\svchost.exe)

2015/11/30 21:35:15,C:\Users\AAAAA\AppData\Local\Temp\Low\hsckcecr.exe,53,Blocked ;执行应用程

序 ("C:\windows\SysWOW64\cmd.exe" /C ""C:\Users\AAAAA\AppData\Local\Temp\Low

\oyjawytm.exe"")

2015/11/30 21:35:23,C:\Users\AAAAA\AppData\Local\Temp\Low\hsckcecr.exe,53,Allowed ;执行应用程

序 ("C:\windows\SysWOW64\cmd.exe" /C ""C:\Users\AAAAA\AppData\Local\Temp\Low

\oyjawytm.exe"")

2015/11/30 21:35:27,C:\Windows\SysWOW64\cmd.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA

\AppData\Local\Temp\Low\oyjawytm.exe")

2015/11/30 21:35:37,C:\Users\AAAAA\AppData\Local\Temp\Low\oyjawytm.exe,41,Blocked ;修改受保护

的文件 (C:\Users\AAAAA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

\xwkfrrvo.exe )

2015/11/30 21:35:47,C:\Users\AAAAA\AppData\Local\Temp\Low\oyjawytm.exe,26,Blocked ;修改受保护

的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,XwkFrrvo)

2015/11/30 21:35:56,C:\Users\AAAAA\AppData\Local\Temp\Low\oyjawytm.exe,26,Blocked ;修改受保护

的注册表键 (HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\System,EnableLUA)

2015/11/30 21:36:09,C:\Users\AAAAA\AppData\Local\Temp\Low\oyjawytm.exe,26,Blocked ;修改受保护

的注册表键 (HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon,Userinit)

2015/11/30 21:36:12,C:\Users\AAAAA\AppData\Local\Temp\Low\oyjawytm.exe,26,Blocked ;修改受保护

的注册表键 (HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion

\Winlogon,Userinit)

275751198

360杀4个，一看到截图里的文件图标我就乐了，好久不见的家族

类型：
HEUR/QVM07.1.Malware.Gen

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
d87d2391f3959528264fa5a0413b2567
类型：
HEUR/QVM07.1.Malware.Gen

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
d87d2391f3959528264fa5a0413b2567
类型：
HEUR/QVM07.1.Malware.Gen

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
d87d2391f3959528264fa5a0413b2567
类型：
HEUR/QVM07.1.Malware.Gen

描述：
木马通常利用系统的漏洞，绕过系统防御，达到：盗取账号、窃取资料、篡改文件、破坏数据的目的。
经过360安全中心检验，此文件是木马，建议您立即处理。

扫描引擎：
360云查杀引擎

文件指纹(MD5)：
d87d2391f3959528264fa5a0413b2567

墨家小子

275751198 发表于 2015-11-30 22:03
360杀4个，一看到截图里的文件图标我就乐了，好久不见的家族

类型：

看见这图标笑粗声，唱起了陈奕迅的好久不贱

fuzhk

双击了第一个，AVG的安全桌面吓尿我了，还以为电脑被黑了！

pal家族

卡巴不杀 上报

yzt1004

只测试了第一个，Emsisoft 一键让它去世

墨家小子

yzt1004 发表于 2015-11-30 22:32
只测试了第一个，Emsisoft 一键让它去世

应该是偷渡下载

pal家族

[mw_shl_code=css,true]30.11.2015 22.32.48;检测到的对象（处理内存）将在计算机重启后处理。;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;PDM:Trojan.Win32.Generic;其它恶意软件;11/30/2015 22:32:48
30.11.2015 22.33.09;检测到的对象（文件）将在计算机重启后处理。;c:\users\yingzhi\appdata\local\pkfbgjyl\xqwnqjfc.exe;c:\users\yingzhi\appdata\local\pkfbgjyl\xqwnqjfc.exe;;未知威胁;11/30/2015 22:33:09
[/mw_shl_code]

卡巴主防杀 回滚[mw_shl_code=css,true]30.11.2015 22.33.45;回滚恶意程序的操作时文件被删除;c:\users\yingzhi\appdata\local\pkfbgjyl\xqwnqjfc.exe;c:\users\yingzhi\appdata\local\pkfbgjyl\xqwnqjfc.exe;Hottempered;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;D:\360安全浏览器下载\7F25.tmp\7F25.tmp.exe;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;恶意程序的操作已回滚;PDM:Trojan.Win32.Generic;D:\360安全浏览器下载\7F25.tmp\7F25.tmp.exe;c:\users\yingzhi\appdata\local\temp\hmosxvof.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;回滚恶意程序的操作时文件被删除;c:\users\yingzhi\appdata\locallow\cmd.yingzhi.bat;c:\users\yingzhi\appdata\locallow\cmd.yingzhi.bat;D:\360安全浏览器下载\7F25.tmp\7F25.tmp.exe;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;回滚恶意程序的操作时文件被删除;c:\users\yingzhi\appdata\local\temp\hmosxvof.exe;c:\users\yingzhi\appdata\local\temp\hmosxvof.exe;D:\360安全浏览器下载\7F25.tmp\7F25.tmp.exe;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;回滚恶意程序的操作时文件被删除;c:\users\yingzhi\appdata\local\pkfbgjyl\xqwnqjfc.exe;c:\users\yingzhi\appdata\local\pkfbgjyl\xqwnqjfc.exe;D:\360安全浏览器下载\7F25.tmp\7F25.tmp.exe;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;回滚恶意程序的操作时文件被删除;c:\users\yingzhi\appdata\locallow\cmd.yingzhi.bat;c:\users\yingzhi\appdata\locallow\cmd.yingzhi.bat;Hottempered;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
30.11.2015 22.33.45;回滚恶意程序的操作时文件被删除;c:\users\yingzhi\appdata\local\temp\hmosxvof.exe;c:\users\yingzhi\appdata\local\temp\hmosxvof.exe;Hottempered;d:\360安全浏览器下载\7f25.tmp\7f25.tmp.exe;11/30/2015 22:33:45
[/mw_shl_code]

XywCloud

4个hash一模一样的文件...
SUD to BAV

墨家小子

XywCloud 发表于 2015-11-30 22:46
4个hash一模一样的文件...
SUD to BAV

是的，就是为了证明一下