Detection ratio: 4 / 54

显示全部楼层 · 发表于 2015-12-1 20:19:31

AVG：

扫描：miss；

双击：实机双击（不入沙），样本自动退出，未发现可疑行为。

显示全部楼层 · 发表于 2015-12-1 20:24:59

本帖最后由墨家小子于 2015-12-1 20:26 编辑

aboringman 发表于 2015-12-1 20:19
AVG：

扫描：miss；

这一步拦截到没？
建立出站网络连接 (TCP)
远程地址=james.seng.sg(192.73.252.77) 远程端口=80

2015/12/1 20:23:16,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\1111\7d64a6d2297bad92b1095264bae47489ccdb809140ee80b7a68e121a82ff8490.exe" )

2015/12/1 20:23:53,C:\Users\AAAAA\Desktop\1111\7d64a6d2297bad92b1095264bae47489ccdb809140ee80b7a68e121a82ff8490.exe,53,Allowed ;执行应用程序 ("C:\windows\syswow64\explorer.exe")

2015/12/1 20:23:55,C:\Windows\SysWOW64\explorer.exe,26,Blocked ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,1056d)

2015/12/1 20:24:04,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (-k netsvcs)

2015/12/1 20:24:13,C:\Windows\SysWOW64\svchost.exe,48,Allowed ;出站网络访问

显示全部楼层 · 发表于 2015-12-1 20:26:48

墨家小子发表于 2015-12-1 20:24
这一步拦截到没？
建立出站网络连接 (TCP)
远程地址=james.seng.sg(192.73.252.77) 远程端口=80

Free版，没有防火墙，所以并没有。

显示全部楼层 · 发表于 2015-12-1 20:27:23

aboringman 发表于 2015-12-1 20:26
Free版，没有防火墙，所以并没有。

启动项呢，我日志在哪呢，看到没

显示全部楼层 · 发表于 2015-12-1 20:29:38

to dr.web

显示全部楼层 · 发表于 2015-12-1 20:29:53

墨家小子发表于 2015-12-1 20:27
启动项呢，我日志在哪呢，看到没

没有发现可疑启动项，这样本需要什么特殊环境吗？

显示全部楼层 · 发表于 2015-12-1 20:31:04

aboringman 发表于 2015-12-1 20:29
没有发现可疑启动项，这样本需要什么特殊环境吗？

你的系统真厉害

显示全部楼层 · 发表于 2015-12-1 20:34:43

墨家小子发表于 2015-12-1 20:31
你的系统真厉害

额，Win7 32位，确实没什么问题啊。

显示全部楼层 · 发表于 2015-12-1 20:43:25

墨家小子发表于 2015-12-1 20:31
你的系统真厉害

刚才再次入沙，IDP终于击杀掉了。

"";"IDP.Trojan.70DF3102, C:\Users\Killer\Desktop\7d64a6d2297bad92b1095264bae47489ccdb809140ee80b7a68e121a82ff8490.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2015/12/1, 20:35:47"
"";", C:\Users\Killer\Desktop\7d64a6d2297bad92b1095264bae47489ccdb809140ee80b7a68e121a82ff8490.exe";"Object was blocked";"Process";"2015/12/1, 20:35:47"

但实机就自动退出，什么都没留下。

显示全部楼层 · 发表于 2015-12-2 02:22:17

时间;扫描程序;对象类型;对象;威胁;操作;用户;信息
2015/12/2 2:21:58;文件系统实时防护;文件;C:\Users\Nelumbonucifera\Downloads\7d64a6d2297bad92b1095264bae47489ccdb809140ee80b7a68e121a82ff8490\7d64a6d2297bad92b1095264bae47489ccdb809140ee80b7a68e121a82ff8490.exe;Win32/Filecoder.FJ 特洛伊木马;通过删除清除 - 已隔离;DESKTOP-LV1IO7V\Nelumbonucifera;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe.

[可疑文件] Detection ratio: 4 / 54