694899.exe 0/21 扫描发现恶意软件

显示全部楼层 · 发表于 2015-12-18 19:31:55

694899.exe

名称： 694899.exe
大小：  371.5kB （380,416字节）
类型： PE32 executable (GUI) Intel 80386, for MS Windows
第一次出现： 2015年12月18日 GMT+1下午12:30:07
MD5： 63dcf3dab51cb5654b81ecc3a8648c5a
SHA1： 6b454f39fb8d16a137cb9bad3c0077e84966825f

状态：完成扫描。0/21 扫描发现恶意软件。
扫描于： 2015年12月18日 GMT+1下午12:30:09
https://virusscan.jotti.org/zh-CN/filescanjob/7whtggmme4

显示全部楼层 · 发表于 2015-12-18 20:17:40

显示全部楼层 · 发表于 2015-12-18 20:29:21

wd kill

显示全部楼层 · 发表于 2015-12-18 20:42:27

本帖最后由 cwl12315 于 2015-12-18 21:14 编辑

又是勒索，我这里NIS miss，只是IPS稍微有点动静。话说这玩意还怕你没浏览器，给装个firefox。。。
-------------------------------------------------------
搞错了，貌似是我的firefox没卸载掉
-------------------------------------------------------
更新，设置sonar主动，自动清除，重新配置网络连接

样本自删除。
文件名: sfyvdacroic.exe
威胁名称: SONAR.Cryptlocker!g17完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015/12/18 ( 21:10:15 )

上次使用时间
2015/12/18 ( 21:10:15 )

启动项目
是

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

sfyvdacroic.exe 威胁名称: SONAR.Cryptlocker!g17
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
sfyvdacroic.exe

____________________________

文件操作

文件: c:\users\cwl\appdata\roaming\ sfyvdacroic.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-3910364187-138092789-1995901743-1000\Software\Microsoft\Windows\CurrentVersion\ Run->santa_svc 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3910364187-138092789-1995901743-1000\Software\zsys\, 注册表配置单元: 64 位威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-3910364187-138092789-1995901743-1000\Software\ 2315B3301EF9B55B, 注册表配置单元: 64 位威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\cwl\appdata\roaming\sfyvdacroic.exe, PID:5208) 未采取操作
(执行者 c:\users\cwl\appdata\roaming\sfyvdacroic.exe, PID:5208) 未采取操作
事件: 进程启动: c:\users\cwl\appdata\roaming\ sfyvdacroic.exe, PID:5208 (执行者 c:\users\cwl\appdata\roaming\sfyvdacroic.exe, PID:5208) 未采取操作
____________________________

可疑操作

(执行者 c:\users\cwl\appdata\roaming\sfyvdacroic.exe, PID:5208) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-12-18 21:03:50

wjy19800315 发表于 2015-12-18 20:17

你是右键的啊，我拉到隔离区右键扫才云报

显示全部楼层 · 发表于 2015-12-18 21:04:21

BD右键miss

显示全部楼层 · 发表于 2015-12-18 21:05:12

开开心心卖手机发表于 2015-12-18 21:03
你是右键的啊，我拉到隔离区右键扫才云报

右键直接扫描
就杀了

显示全部楼层 · 发表于 2015-12-18 22:00:09

hitman pro alert 拦截，不贴图了

显示全部楼层 · 发表于 2015-12-18 22:18:20

yzt1004 发表于 2015-12-18 22:00
hitman pro alert 拦截，不贴图了

看来搭配HPA是非常不错的选择，但HPA的键盘输入加密有点卡输入法

显示全部楼层 · 发表于 2015-12-19 00:03:28

文件 ID 文件名大小(字节) 结果
28681395 694899.rar 199.02 KB OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID 文件名大小(字节) 结果
28681396 694899.exe 371.5 KB UNDER ANALYSIS

[可疑文件] 694899.exe 0/21 扫描发现恶意软件

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块