加密勒索X3

icedream89

全部运行了一下，kill~~~
[mw_shl_code=css,true]文件名: 9274935.exe
威胁名称: SONAR.Infostealer!g2完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
2016/2/6 ( 16:42:31 )

上次使用时间?
2016/2/6 ( 16:42:31 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


9274935.exe 威胁名称: SONAR.Infostealer!g2
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
winrar.exe

创建的文件:
9274935.exe

____________________________

文件操作

文件: c:\users\administrator\desktop\9274935\ 9274935.exe 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\ WinRAR->HWID, 注册表配置单元: 64 位 威胁已删除
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\administrator\desktop\9274935\9274935.exe, PID:2004) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\desktop\9274935\9274935.exe, PID:2004) 未采取操作
(执行者 c:\users\administrator\desktop\9274935\9274935.exe, PID:2004) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\9274935\ 9274935.exe, PID:2004 (执行者 c:\users\administrator\desktop\9274935\9274935.exe, PID:2004) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\desktop\9274935\9274935.exe, PID:2004) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 1354869.exe
威胁名称: SONAR.SuspBeh!gen21完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
不可用

上次使用时间?
(  )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


1354869.exe 威胁名称: SONAR.SuspBeh!gen21
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\administrator\desktop\1354869\ 1354869.exe 不需要操作
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\administrator\desktop\1354869\1354869.exe, PID:2300) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\desktop\1354869\1354869.exe, PID:2300) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ msiexec.exe, PID:2828 (执行者 c:\users\administrator\desktop\1354869\1354869.exe, PID:2300) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\1354869\ 1354869.exe, PID:2300 (执行者 c:\users\administrator\desktop\1354869\1354869.exe, PID:2300) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\desktop\1354869\1354869.exe, PID:2300) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\administrator\desktop\1354869\1354869.exe, PID:2300) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 5174935.exe
威胁名称: SONAR.SuspBeh!gen115完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
不可用

上次使用时间?
(  )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


5174935.exe 威胁名称: SONAR.SuspBeh!gen115
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\administrator\desktop\5174935\ 5174935.exe 不需要操作
目录: c:\users\administrator\appdata\roaming\ 4af4d2e81 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\desktop\5174935\5174935.exe, PID:2900) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:2832 (执行者 c:\users\administrator\desktop\5174935\5174935.exe, PID:2900) 未采取操作
事件: 进程启动: c:\users\administrator\desktop\5174935\ 5174935.exe, PID:2900 (执行者 c:\users\administrator\desktop\5174935\5174935.exe, PID:2900) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\4af4d2e81\ 4af4d2e8.exe (执行者 c:\users\administrator\desktop\5174935\5174935.exe, PID:2900) 未采取操作
____________________________

可疑操作

(执行者 c:\users\administrator\desktop\5174935\5174935.exe, PID:2900) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

aboringman

辛苦楼主了，然而，IDP一点反应也没有，还有，这些样本并未对我构成威胁，完毕。。。。。。

神迹般存在

KIS deleted 2x, missed 1x(9274935).

Microsoftheihei

神迹般存在 发表于 2016-2-7 16:22
KIS deleted 2x, missed 1x(9274935).

07.02.2016 17.02.56;检测到的对象 ( 文件 ) 未处理。;C:\Users\Administrator\Desktop\9274935.exe;C:\Users\Administrator\Desktop\9274935.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;02/07/2016 17:02:56

神迹般存在

Microsoftheihei 发表于 2016-2-7 17:03
07.02.2016 17.02.56;检测到的对象 ( 文件 ) 未处理。;C:%users\Administrator\Desktop\9274935.exe;C:%u ...

我上报了呗

275751198

360  kill   two

蓝天二号

ESS

nick20010117

趋势扫描miss
双击kill3x，两个是AEGIS，另一个是TSPY_FAREIT.MIP00000001（扫描不杀，未报未经授权的更改，不会是内存扫描杀的吧） @aboringman

pal家族

Kaspersky
Internet Security
ACCESS DENIED
The requested URL cannot be provided

Object URL:

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxOTYyMTM4

Reason:

The object is infected by Trojan-PSW.Win32.Tepfer.psxfkp
Message generated on: 2016/2/11 18:03:40


Kaspersky
Internet Security
ACCESS DENIED
The requested URL cannot be provided

Object URL:

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxOTYyMTM4

Reason:

The object is infected by Trojan-Ransom.Win32.Cryptodef.addc
Message generated on: 2016/2/11 18:03:38


Kaspersky
Internet Security
ACCESS DENIED
The requested URL cannot be provided

Object URL:

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxOTYyMTM4

Reason:

The object is infected by Backdoor.Win32.Androm.jcte
Message generated on: 2016/2/11 18:03:34

@nick20010117 趋势也是6的飞起，简中？已经算是坟了吧。。。

nick20010117

pal家族 发表于 2016-2-11 18:04
Kaspersky
Internet Security
ACCESS DENIED

我用的是繁中，简中不敢用
趋势其实也有点卡，写入也有点大