Ransomware.DMALocker

230f4

密码infected

未上报未双击

pal家族

卡巴启发杀

aboringman

你来得太晚了。。。。。。

学雷锋做人

只想安静的发个图

230f4

aboringman 发表于 2016-2-9 00:22
你来得太晚了。。。。。。

怎么办？

aboringman

230f4 发表于 2016-2-9 00:23
why？

Because I want to go to sleepBut you already came

230f4

aboringman 发表于 2016-2-9 00:24
Because I want to go to sleepBut you already came

反正还醒着，双击！复制过去或@一下，用事实说话，让坛友cepots见识下IDP的厉害！

aboringman

230f4 发表于 2016-2-9 00:26
双击，复制过去，让某坛友见识下IDP的厉害！

额，我会双击的，不过没发过去的必要，毕竟要看他个人的选择，不能因为我的测试而强制改变别人的想法。

aboringman

AVG：

扫描：miss；

双击：测试了两次，第一次双击后衍生物报错，愣是没有加密到。第二次终于现形，IDP击杀之。

"";"IDP.ARES.Generic, C:\Users\kiiler\Desktop\DMALocker.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/9, 0:46:58"
"";", C:\Users\kiiler\Desktop\DMALocker.exe";"Object was blocked";"Process";"2016/2/9, 0:46:58"
"";", C:\PROGRAMDATA\SVCHOSD.EXE";"Object was blocked";"Process";"2016/2/9, 0:46:58"
"";", C:\PROGRAMDATA\SVCHOSD.EXE";"Object was blocked";"Process";"2016/2/9, 0:46:58"
"";", C:\PROGRAMDATA\SVCHOSD.EXE";"Object was blocked";"Process";"2016/2/9, 0:46:58"
"";", C:\PROGRAMDATA\SVCHOSD.EXE";"Deleted";"File or Directory";"2016/2/9, 0:46:58"
"";", C:\Users\kiiler\Desktop\DMALocker.exe";"Object was blocked";"Process";"2016/2/9, 0:46:58"
"";", HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\CRYPTEDINFO";"Deleted, Moved to Virus Vault";"Registry value";"2016/2/9, 0:46:58"
"";", HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\CSSYS";"Deleted, Moved to Virus Vault";"Registry value";"2016/2/9, 0:46:58"

@cepots 这只是一个例子，在样本未经入库的情况下，IDP出面应对威胁。

icedream89

ESS9 miss
NS下双击了一下- -  卡U无比，被添加启动项，太卡U我手动结束掉进程。