Detection ratio: 2 / 52 这种挂马让人惊恐啊，直接把木马弄到系统文件夹里去了

aboringman

FS：

扫描：miss；

双击：拦截。。。。。。

Suspicious：W32/Malware!DeepGuard.n

开开心心卖手机

10586 x64 关闭实时监控 双击
[mw_shl_code=xml,true]AVA 25.5278
GD 25.6238

*** 进程 ***

进程: 6444
文件名: tmp64b2.exe
路径: c:\users\--\desktop\tmp64b2.exe

发行商：: 未知发行商

启动进程：: explorer.exe
发行商：: Microsoft Windows


*** 操作 ***

程序正试图建立自启动项，以在系统启动时自动运行。
程序已创建或已操作可执行文件。
该程序可以用户执行任何程序代码。
程序进行了自我复制。
可执行文件被保存在一个可疑位置。


*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\--\Desktop\TMP64B2.exe
c:\users\--\appdata\roaming\nishuhe45.exe

下列注册表项被删除：


YGLRL3nAcoJiYnKC0HJycnJiYuBysi4n+HKCD6dCJyl0ckInCLdyknJycoKALicoJiYnCLli0S94kC0nCOlygmJicoKgLCcoJiYnCNtycnJyYmLALycnJycmBo1ygmJicoLQLicoJiYnCM9ycnJyYmJwp3KCcKhycnJyYmJwuHJycnJiYnDocnJycmJicLqCYVhjtqKikV5jtnKCYVhjtpJw23JycnJiYnDscnJiYnJycPxyomJicqJwjnJyBvcpJycnJyYGaCknCAA
规则版本： 5.0.79
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本： 55982

"C:\Users\Desktop\TMP64B2.exe"
MD5:
C:\Windows\Explorer.EXE
MD5:
[/mw_shl_code]

胖福

文件名: tmp64b2.tmp.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016-1-22 ( 08:01:48 )

上次使用时间 
2016-1-22 ( 08:01:48 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


tmp64b2.tmp.exe 威胁名称: SONAR.Heuristic.132
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
tmp64b2.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ tmp64b2.tmp.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\tmp64b2.tmp.exe, PID:4832) 未采取操作
(执行者 f:\norton样本\临时收集\tmp64b2.tmp.exe, PID:4832) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\ glfnbhe45.exe (执行者 f:\norton样本\临时收集\tmp64b2.tmp.exe, PID:4832) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ tmp64b2.tmp.exe, PID:4832 (执行者 f:\norton样本\临时收集\tmp64b2.tmp.exe, PID:4832) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\tmp64b2.tmp.exe, PID:4832) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

狐狸糊涂

BD双击，ATC杀掉

小飞侠.net

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 th2....）： Win32/Kryptik.ELGG
病毒库: 12907P (20160121)
快速响应模块: 7371 (20160121)
更新模块: 1060 (20150617)
病毒和间谍软件扫描程序模块: 1477 (20160104)
高级启发式扫描模块: 1165 (20160104)
压缩文件支持模块: 1244 (20160107)
清除器模块: 1116 (20151113)
反隐藏支持模块: 1093 (20151216)
个人防火墙模块: 1294 (20151216)


奇虎360杀毒 64位（QVM二代、360云查杀、Avira、BitDefender）++（Win 7....）：云QVM10.1

。。。。查杀结果看图：Scan finished...7/20 scanners reported malware.

TMP64B2.rar - Jotti's malware scan  https://virusscan.jotti.org/en-GB/filescanjob/1tdp8a8odi

样本MD5：
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\ZipX\TMP64B2.rar
文件大小: 237505 字节 (231.94 KB)
修改日期: 2016-01-22 09:18
MD5: b8486411693d03c405244627913bf1ca
SHA1: 1051bc914c68cd57fa6c1a3fcded29cf94d3bd6f
SHA256: dd2a5699c2d98c44904ac9ee3a6360e2643ad7dc92492a1c472c58b25a7a939b
CRC32: ea931fe7

a445441

微点拦截

墨家小子

aboringman 发表于 2016-1-21 20:47
FS：

扫描：miss；

你可以试试IDP和ESET内存扫描

saga3721

红伞杀“TR/Crypt.ZPACK.181017”[trojan]

aboringman

墨家小子 发表于 2016-2-3 11:24
你可以试试IDP和ESET内存扫描

好的。

AVG：

扫描：killed（by WP）；

"";"Trojan horse Ransomer.KUH, https://att.kafan.cn/forum.php?mod=attachment&aid=Mjc0OTAxNHxkZjMxMzM3MnwxNDU0NDczOTg5fDEwMDA1MDF8MTkzNTUyNg%3D%3D";"Object was blocked";"URL";"2016/2/3, 12:33:16"
"";"Trojan horse Ransomer.KUH, https://att.kafan.cn/forum.php?mod=attachment&aid=Mjc0OTAxNHxkZjMxMzM3MnwxNDU0NDczOTg5fDEwMDA1MDF8MTkzNTUyNg%3D%3D:\TMP64B2.tmp";"Unresolved";"Embedded element in the archive, email attachment, cookie etc.";"2016/2/3, 12:33:16"

双击：关闭监控，实机双击，IDP 瞬杀之。

"";"IDP.Program.D1B0A5C0, C:\Users\kiiler\Desktop\TMP64B2.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/3, 12:36:28"
"";", C:\Users\kiiler\Desktop\TMP64B2.tmp.exe";"Object was blocked";"Process";"2016/2/3, 12:36:28"



ESET：

扫描：killed（by RTP）；

Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash

2016/2/3 12:37:56;Real-time file system protection;file;C:\Users\kiiler\Desktop\新建文件夹\TMP64B2.tmp;a variant of Win32/Kryptik.ELGG trojan;cleaned by deleting;;Event occurred on a new file created by the application: D:\Haozip\HaoZip.exe (2C2CD81A6FDCB4A93E9546B01FE0A7B3334ECDE1).;68F11666A1EFCA9BC080D67C5776A95E093851F5

双击：关闭监控，实机双击，BP和AMS同时出手，重创衍生物，衍生物受到无穷大伤害。。。。。。

Time;Scanner;Object type;Object;Threat;Action;User;Information;Hash

2016/2/3 12:38:45;unknown;file;Operating memory » C:\Users\kiiler\AppData\Roaming\cnwhnhe45.exe;a variant of Win32/Filecoder.TeslaCrypt.I trojan;cleaned by deleting;kiiler-PC\kiiler;;CD4188F01DE6401205EFF35855985588F065D9AD

Time;Event;Source;Target;Protocol;Rule/worm name;Application;User

2016/2/3 12:38:43;Suspected botnet detected;192.168.1.102:54454;69.73.182.201:80;TCP;Win32/Filecoder.EM;C:\Users\kiiler\AppData\Roaming\cnwhnhe45.exe;kiiler-PC\kiiler

墨家小子

aboringman 发表于 2016-2-3 12:45
好的。

AVG：

高级内存拦截之后，有没有发现注入情况？启动项什么的有没有异常？