File name: radB411D.tmp.exe Detection ratio: 2 / 54 加密勒索挂马监视剪切板

显示全部楼层 · 发表于 2016-1-5 10:38:10

墨家小子发表于 2016-1-5 10:23
数字还是不杀吗？

我也很不解啊，到底是工程师放假了，还是工程师认不出这个是木马

显示全部楼层 · 发表于 2016-1-5 10:51:29

275751198 发表于 2016-1-5 10:38
我也很不解啊，到底是工程师放假了，还是工程师认不出这个是木马

收藏家你好

显示全部楼层 · 发表于 2016-1-5 10:52:54

算了我就不测了，NIS跟我有仇，又出毛病了。。。。。。
检测不到文件

显示全部楼层 · 发表于 2016-1-5 10:58:17

文件名: radb411d.tmp.exe
威胁名称: Trojan.Cryptodefense完整路径: f:\norton样本\临时收集\radb411d.tmp.exe

____________________________

____________________________

在电脑上的创建时间
2016-1-5 ( 10:54:39 )

上次使用时间
2016-1-5 ( 10:57:10 )

启动项目
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

radb411d.tmp.exe 威胁名称: Trojan.Cryptodefense
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
radb411d.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ radb411d.tmp.exe 已删除
受感染文件: f:\norton样本\临时收集\ radb411d.tmp.exe 不需要操作
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SystemRestore->DisableSR:0 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS->Start:2 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ERSvc->Start:2 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ wscsvc->Start:2 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ wuauserv->Start:2 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\ ->Start:3 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WerSvc\ ->Start:3 已修复
____________________________

文件指纹 - SHA:
dc95913eb972d204c2d88ef8d26b1a77e59282d862135b3b58884a04aec76cf4
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-1-5 11:02:43

sunnyjianna 发表于 2016-1-5 10:52
算了我就不测了，NIS跟我有仇，又出毛病了。。。。。。
检测不到文件

对于心灰意冷的我就说一句，你的诺顿密钥还要不？

显示全部楼层 · 发表于 2016-1-5 12:35:34

本帖最后由 sunnyjianna 于 2016-1-5 12:38 编辑

墨家小子发表于 2016-1-5 11:02
对于心灰意冷的我就说一句，你的诺顿密钥还要不？

我都没卸载

你之前不是在用吗
我用的是NIS三用户的

显示全部楼层 · 发表于 2016-1-5 15:21:59

AVA 25.5092
GD 25.6143

*** 进程 ***

进程: 4284
文件名: radb411d.tmp.exe
路径: c:\users\沙勇军\desktop\radb411d.tmp.exe

发行商：: 未知发行商
创建日期: 01/05/16 07:20:45
修改日期: 01/05/16 01:29:38

启动进程：: start.exe
发行商：: Invincea, Inc.

*** 操作 ***

程序正试图建立自启动项，以在系统启动时自动运行。
程序已创建或已操作可执行文件。

*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\沙勇军\Desktop\radB411D.tmp.exe
c:\sandbox\沙勇军\defaultbox\user\current\appdata\roaming\1f0838934\c6db2.exe
c:\sandbox\沙勇军\defaultbox\user\current\desktop\radb411d.tmp.exe

下列注册表项被删除：

\registry\user\sandbox_沙勇军_defaultbox\machine\software\wow6432node\microsoft\windows nt\currentversion\systemrestore || disablesr
\registry\user\sandbox_沙勇军_defaultbox\user\current\software\microsoft\windows\currentversion\run || 1f0838934

YGLRmnIHLCcpJiYnCS0nKCYmJwguJ2eLcoItJ2e4gC4nKCYmJwi5YtGa0pAtJwjpcoJiYnKCoCwnKCYmJwibcnJiYnJywC8nKCYmJwiNcoJiYnKCcKdygnD3cnJiYnJycLlycmJicnJwuoLBWGPGgpJhWmO2coLBWGPGcnDacnJiYnJycPxygmJicoJwjnJycJ5yciYnLycH5y0nJyYmJwf3KicnJiYnB2gpJwgA
规则版本： 5.0.77
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\沙勇军\Desktop\radB411D.tmp.exe"
MD5: DB7980BD4883E7D45BB92A2909C448EB
"C:\Program Files\Sandboxie\Start.exe" /env:00000000_SBIE_CURRENT_DIRECTORY="C:\Users\沙勇军\Desktop" /env:=Refresh /elevate "C:\Users\沙勇军\Desktop\radB411D.tmp.exe"
MD5:

显示全部楼层 · 发表于 2016-1-5 16:09:48

扫描报告

2016年1月5日 0:09:04 - 0:09:04

计算机名称: XING
扫描类型: 扫描目标
目标: C:\Users\xing\Downloads\radB411D.tmp.rar

结果: 发现 1 个恶意软件
Backdoor:W32/Cycbot.e845b08ec5!Online (病毒) •C:\Users\xing\Downloads\radB411D.tmp.rar\radB411D.tmp.exe

统计信息
已扫描: •文件: 2
•未扫描: 0
结果: •病毒: 1
•间谍软件: 0
•可疑项目: 0
•危险软件: 0
操作: •已杀毒: 0
•已重命名: 0
•删除: 0
•已隔离: 0
•失败: 0
启动扇区: •已扫描: 0
•受感染: 0
•可疑项目: 0
•已杀毒: 0

选项
病毒库版本:•病毒: 2016-01-05_02
•间谍软件: 2016-01-05_02
扫描引擎：•F-Secure Aquarius: 11.00.01, 2016-01-05
•F-Secure Hydra: 5.15.21, 2016-01-02
•F-Secure Online: 15.10.194, 0-00-00
•F-Secure Gemini: 3.02.384, 2016-01-04
扫描选项： •扫描指定类型的文件： COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ POT MSO PIF ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI BAT CMD DOC DOT JOB LSP MHT PHP PPT SWF WMA WMV WMF WRI XLS XLT CLASS DOCX DOCM DOTX DOTM DOCB XLSX XLSM XLTX XLTM XLSB XLAM PPTX PPTM POTX POTM PPAM PPSX PPSM SLDX SLDM PUB TMP ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
•扫描压缩文件内部
操作:•病毒: 删除受感染文件
•间谍软件: 删除受感染文件

显示全部楼层 · 发表于 2016-1-6 22:38:20

绅博周幸发表于 2016-1-5 16:09
扫描报告

2016年1月5日 0:09:04 - 0:09:04

啊，啊，啊，这不是大BD版主吗？好久不见

[可疑文件] File name: radB411D.tmp.exe Detection ratio: 2 / 54 加密勒索挂马监视剪切板

本帖子中包含更多资源

浏览过的版块

[可疑文件] File name: radB411D.tmp.exe Detection ratio: 2 / 54 加密勒索挂马 监视剪切板

本帖子中包含更多资源

浏览过的版块

[可疑文件] File name: radB411D.tmp.exe Detection ratio: 2 / 54 加密勒索挂马监视剪切板