File name: 3893……0f8dc.exe Detection ratio: 3 / 55

显示全部楼层 · 发表于 2015-12-25 10:24:25

SHA256: 38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc
File name: 38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc.exe
Detection ratio: 3 / 55
Analysis date: 2015-12-25 02:22:59 UTC ( 0 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1451010179/

显示全部楼层 · 发表于 2015-12-25 12:07:54

Bitdefender blocked this page
The page you are trying to access contains Trojan.Ransom.ANG.

显示全部楼层 · 发表于 2015-12-25 12:09:14

2楼市厚道人，都特么下载十几次了，就2楼回复，真是看贴不回木jj么

显示全部楼层 · 发表于 2015-12-25 14:51:45

创建一个新文件，允许

执行刚创建的文件，允许

修改刚创建的进程内存，允许

执行CMD，允许

看看执行了什么内容，删除主程序，接下来开始子程序作恶。

先是修改保护的注册表，阻止

添加启动项，阻止

开始要修改其他程序内存了。太多，于是勾选暂时记住此进程的所有内存修改，并拒绝。

开始要联网了。

又开始修改我文件了，又是勒索。。。阻止

键盘记录，阻止。

开始访问所有进程内存了，刚加了条新规则，阻止所有内存修改。

内存修改不弹窗了，开始修改文件了，看来还需要加一条阻止所有文件的修改。。。

继续弹修改文件的，文件这么多，阻止终止了。等会再重新跑下，看看还有没接下来的行为。

显示全部楼层 · 发表于 2015-12-25 15:12:43

中途执行的。允许

看下记录

VVV那个加密病毒么。允许

加密了几个对比下。反正全是乱码了。。。

过滤掉其他磁盘后结果又在系统盘开始下手。再次阻止终止程序了。

显示全部楼层 · 发表于 2015-12-25 15:37:51

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL :

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxODcyMDc4

原因 :

对象感染源 HEUR:Trojan.Win32.Generic
消息生成日期 : 2015/12/25 15:37:24

心疼LZ，遂下载测试并回复。。。。

显示全部楼层 · 发表于 2015-12-25 15:39:53

右键轻松过WD~

- System

  - Provider

[ Name]  Microsoft-Windows-Windows Defender
[ Guid]  {11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}

EventID 1001

Version 0

Level 4

Task 0

Opcode 0

Keywords 0x8000000000000000

  - TimeCreated

[ SystemTime]  2015-12-25T07:23:37.744030200Z

EventRecordID 16

  - Correlation

[ ActivityID]  {C85F203B-FCAF-40F8-BB7A-72BB9806A99A}

  - Execution

[ ProcessID]  5576
[ ThreadID]  336

Channel Microsoft-Windows-Windows Defender/Operational

Computer Test-PC

  - Security

[ UserID]  S-1-5-18

- EventData

  Product Name %%827
  Product Version 4.9.10586.0
  Scan ID {0E7FF8BD-CBBD-41C2-A489-BE102EC32914}
  Scan Type Index 3
  Scan Type %%802
  Scan Parameters Index 3
  Scan Parameters %%807
  Domain Test-PC
  User Kevin
  SID S-1-5-21-2345186820-3682449444-2988919861-1001
  Scan Time Hours 0
  Scan Time Minutes 00
  Scan Time Seconds

显示全部楼层 · 发表于 2015-12-25 15:57:38

SONAR只杀了衍生物：

文件名: vveetskhf2.exe
威胁名称: SONAR.Cryptlocker!g17完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015-12-25 ( 15:56:31 )

上次使用时间
2015-12-25 ( 15:56:31 )

启动项目
是

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

vveetskhf2.exe 威胁名称: SONAR.Cryptlocker!g17
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
vveetskhf2.exe

____________________________

文件操作

文件: c:\users\administrator\appdata\roaming\ vveetskhf2.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->meryHmas 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\zsys\ 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ zsys->ID 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ 5B6A7384F78B3257 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ 5B6A7384F78B3257->data 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->EnableLinkedConnections 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->meryHmas 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1451029960 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\appdata\roaming\vveetskhf2.exe, PID:5828) 未采取操作
(执行者 c:\users\administrator\appdata\roaming\vveetskhf2.exe, PID:5828) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\ vveetskhf2.exe, PID:5828 (执行者 c:\users\administrator\appdata\roaming\vveetskhf2.exe, PID:5828) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\appdata\roaming\vveetskhf2.exe, PID:5828) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-12-25 23:39:35

火绒报毒

显示全部楼层 · 发表于 2015-12-26 00:10:29

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
containerfile:C:\Users\NatsukiHanae\Downloads\38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc.rar
file:C:\Users\NatsukiHanae\Downloads\38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc.rar->38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9525C1EF-FB93-4FEA-BCEE-2C71A77F68CD}-38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc.rar|browser_broker.exe
webfile:C:\Users\NatsukiHanae\Downloads\38932cdab093a755279c5221f9822d44f8bb9440c1df9f2dc9951fe60fe0f8dc.rar|https://att.kafan.cn/forum.php?mo ... Dk2NTk2NnwxODcyMDc4|browser_broker.exe

联机获取此项的详细信息。

[可疑文件] File name: 3893……0f8dc.exe Detection ratio: 3 / 55

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块