File name: 714e……b97d51.exe Detection ratio: 3 / 52 这是什么妖怪？过SSF

显示全部楼层 · 发表于 2015-12-28 17:48:25

本帖最后由墨家小子于 2015-12-28 17:51 编辑

SHA256: 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51
File name: 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe
Detection ratio: 3 / 52
Analysis date: 2015-12-28 09:39:25 UTC ( 2 minutes ago )
https://www.virustotal.com/en/fi ... nalysis/1451295565/

2015/12/28 17:39:35,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe" )

2015/12/28 17:40:39,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe" )

2015/12/28 17:41:55,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\schtasks.exe" /Create /TN "Update\32qjowieJFEK3jqiewklDAd" /XML "C:\Users\AA\AppData\Local\Temp\z930.xml")

2015/12/28 17:41:55,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (schtasks.exe(pid=5260))

2015/12/28 17:41:57,C:\Windows\SysWOW64\schtasks.exe,51,Blocked ;进程间通信 (TaskScheduler)

2015/12/28 17:41:59,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\System,EnableLUA)

2015/12/28 17:42:01,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe")

2015/12/28 17:42:03,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe")

2015/12/28 17:43:09,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,53,Allowed ;执行应用程序 ("C:\Windows\System32\schtasks.exe" /Create /TN "Update\32qjowieJFEK3jqiewklDAd" /XML "C:\Users\AA\AppData\Local\Temp\z653.xml")

2015/12/28 17:43:09,C:\Windows\System32\conhost.exe,40,Allowed ;以修改权限打开进程或线程 (schtasks.exe(pid=2768))

2015/12/28 17:43:11,C:\Windows\SysWOW64\schtasks.exe,51,Blocked ;进程间通信 (TaskScheduler)

2015/12/28 17:43:12,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\System,EnableLUA)

2015/12/28 17:43:14,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe")

2015/12/28 17:43:16,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe")

2015/12/28 17:43:18,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,53,Allowed ;执行应用程序 ("C:\windows\SysWOW64\explorer.exe")

2015/12/28 17:43:20,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,40,Blocked ;以修改权限打开进程或线程 (explorer.exe(pid=6924))

2015/12/28 17:43:23,C:\Windows\SysWOW64\explorer.exe,40,Blocked ;以修改权限打开进程或线程 (explorer.exe(pid=4148))

2015/12/28 17:43:24,C:\Windows\SysWOW64\explorer.exe,50,Allowed ;使用 DNS 解析服务访问网络

2015/12/28 17:43:24,C:\Windows\System32\svchost.exe,53,Allowed ;执行应用程序 ("C:\Program Files\Windows Mail\WinMail.exe" -Embedding)

2015/12/28 17:43:29,C:\Windows\SysWOW64\explorer.exe,54,Allowed ;接受入站网络数据包

2015/12/28 17:43:30,C:\Program Files\Windows Mail\WinMail.exe,53,Blocked ;执行应用程序 ("C:\Program Files\Windows Mail\WinMail" OCInstallUserConfigOE)

2015/12/28 17:43:32,C:\Windows\SysWOW64\explorer.exe,48,Blocked ;出站网络访问

2015/12/28 17:43:49,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Blocked ;执行应用程序 ("C:\windows\system32\cmd.exe" /c "C:\Users\AA\AppData\Local\Temp\tmp892eaf85.bat")

2015/12/28 17:43:51,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe")

2015/12/28 17:43:54,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe")

2015/12/28 17:43:55,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,40,Blocked ;以修改权限打开进程或线程 (esif_assist.exe(pid=4128))

2015/12/28 17:43:58,C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe,53,Allowed ;执行应用程序 ("C:\Users\AA\Desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe")

2015/12/28 17:44:00,C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe,53,Terminated ;执行应用程序 ("C:\Users\AA\AppData\Roaming\Idgeez\kugia.exe")

显示全部楼层 · 发表于 2015-12-28 18:24:04

检测： TR/Dropper.MSIL.238647 (Cloud)

显示全部楼层 · 发表于 2015-12-28 18:28:00

scep kill

显示全部楼层 · 发表于 2015-12-28 18:34:49

显示全部楼层 · 发表于 2015-12-28 20:57:12

文件名: 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2015/12/28 ( 20:53:41 )

上次使用时间
2015/12/28 ( 20:53:41 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe 威胁名称: SONAR.Heuristic.120
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe

____________________________

文件操作

文件: c:\users\AA\desktop\1\ 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe 威胁已删除
文件: c:\users\AA\appdata\roaming\ iexploer.exe 不需要操作
文件: c:\users\AA\appdata\local\microsoft\clr_v2.0_32\usagelogs\ 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe.log 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:2828) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:8088 (执行者 c:\users\AA\desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:2828) 未采取操作
事件: 进程启动 (执行者 c:\users\AA\desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:8088) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:2828 (执行者 c:\users\AA\desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:2828) 未采取操作
事件: PE 文件创建: c:\users\AA\appdata\roaming\ iexploer.exe (执行者 c:\users\AA\desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:8088) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ 714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:8088 (执行者 c:\users\AA\desktop\1\714e29900377c1319450b17e6f9970493c2a8425a3e7cb0eaa4875fc64b97d51.exe, PID:8088) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2015-12-29 08:57:08

BitDefender的拦截此网页
您要访问的页面包含Trojan.GenericKD.2953557。

显示全部楼层 · 发表于 2015-12-29 09:09:24

来晚了。。。。。。

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL :

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxODcyNjQ0

原因 :

对象感染源 HEUR:Trojan.Win32.Generic
消息生成日期 : 2015/12/29 9:09:15

显示全部楼层 · 发表于 2015-12-29 21:48:39

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 th2....）：

奇虎360杀毒 64位（QVM二代、360云查杀、Avira、BitDefender）++（Win 7....）：QVM03.0

。。。。查杀结果看图：Scan finished. 11/21 scanners reported malware.

样本MD5：MSIL/Injector.NJE
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\ZipX\280.rar
文件大小: 287018 字节 (280.29 KB)https://virusscan.jotti.org/en-GB/filescanjob/uvd3lbeynm
修改日期: 2015-12-29 21:34
MD5: 007de9b62c2e0af6be6c9374afe00299
SHA1: b2c5e77269bf4689e18599834e801d22d296721c
SHA256: 5f0692929a2a90a86d761f295e4d01e91e8c7bd4489544e0e8f4af05498e0741
CRC32: bc2d5ae7

显示全部楼层 · 发表于 2015-12-29 22:27:45

火绒报毒

[可疑文件] File name: 714e……b97d51.exe Detection ratio: 3 / 52 这是什么妖怪？过SSF

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块