收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 File name: 155D.tmp.exe Detection ratio: 2 / 54 加 ...
123下一页
返回列表 发新帖
楼主: 墨家小子
 收起左侧

[可疑文件] File name: 155D.tmp.exe Detection ratio: 2 / 54 加密勒索挂马

[复制链接]
aboringman
发表于 2016-2-18 12:27:13 | 显示全部楼层
AVG:

扫描:miss;

双击:实机双击,IDP击杀之。(包括衍生物“qvfpwwdistby.exe”及本体,并阻止cmd.exe的后续操作)

"";"IDP.ALEXA.51, C:\USERS\KILLER\DESKTOP\155D.TMP.EXE";"Deleted";"File or Directory";"2016/2/18, 12:24:45"

"";", C:\USERS\KILLER\DESKTOP\155D.TMP.EXE";"Object was blocked";"Process";"2016/2/18, 12:24:45"

"";", C:\Windows\qvfpwwdistby.exe";"Object was blocked";"Process";"2016/2/18, 12:24:45"

"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/2/18, 12:24:45"

"";", C:\Windows\qvfpwwdistby.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/18, 12:24:45"

"";", C:\USERS\KILLER\DESKTOP\155D.TMP.EXE";"Object was blocked";"Process";"2016/2/18, 12:24:45"
回复

举报

icedream89
发表于 2016-2-18 12:42:24 | 显示全部楼层
[mw_shl_code=css,true]文件名: eaoqusclbshn.exe
完整路径: C:\Windows\eaoqusclbshn.exe

____________________________

____________________________


开发人员?
不可用

版本?
不可用

已识别?
2016/2/18 ( 12:36:21 )

上次使用时间?
2016/2/18 ( 12:37:50 )

启动项?



____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

未知
有关此文件的信息不足,无法推荐它。


____________________________


源文件:
eaoqusclbshn.exe

____________________________

性能

____________________________

平均资源使用率: 低
平均 CPU 使用率: 低
平均内存使用率: 低

____________________________

性能警报

进程 ID
520

CPU
正常

内存
正常

句柄计数
正常

磁盘读取活动
正常

磁盘写入活动
正常

____________________________

系统更改

EnableFileTracing
EnableConsoleTracing
FileTracingMask
ConsoleTracingMask
MaxFileSize
FileDirectory
c:\yonkl.exe
____________________________

网络

#  协议 远程连接 端口
1. TCP clothdiapersexpert.com HTTP

____________________________


文件指纹 - SHA:
d221e6024a96db1678e367a9ee4e96d53453b4471a3ca6707e644f84f93ad796
文件指纹 - MD5:
c92c35e62793081ddf636f33c0500d4d


文件名: yonkl.exe
威胁名称: SONAR.SuspLaunch!gen4完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间?
2016/2/18 ( 12:37:57 )

上次使用时间?
2016/2/18 ( 12:37:57 )

启动项目?


已启动?


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


yonkl.exe 威胁名称: SONAR.SuspLaunch!gen4
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
eaoqusclbshn.exe

创建的文件:
yonkl.exe

____________________________

文件操作

文件: c:\ yonkl.exe 威胁已删除
文件: c:\windows\ eaoqusclbshn.exe 威胁已删除
文件: c:\ recover_file_jtgsttvvm.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-18\ recovery+ybgvj.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-18\ recovery+ybgvj.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-18\ recovery+ybgvj.html 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-1000\ recovery+ybgvj.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-1000\ recovery+ybgvj.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-1000\ recovery+ybgvj.html 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-500\ recovery+ybgvj.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-500\ recovery+ybgvj.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-500\ recovery+ybgvj.html 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-4230695508-2665832764-745859615-500\ recovery+ybgvj.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-4230695508-2665832764-745859615-500\ recovery+ybgvj.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-4230695508-2665832764-745859615-500\ recovery+ybgvj.html 威胁已删除
文件: c:\$recycle.bin\ recovery+ybgvj.png 威胁已删除
文件: c:\$recycle.bin\ recovery+ybgvj.txt 威胁已删除
文件: c:\$recycle.bin\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\cs-cz\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\cs-cz\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\cs-cz\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\da-dk\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\da-dk\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\da-dk\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\de-de\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\de-de\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\de-de\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\el-gr\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\el-gr\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\el-gr\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\en-us\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\en-us\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\en-us\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\es-es\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\es-es\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\es-es\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\fi-fi\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\fi-fi\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\fi-fi\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\fonts\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\fonts\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\fonts\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\fr-fr\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\fr-fr\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\fr-fr\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\hu-hu\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\hu-hu\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\hu-hu\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\it-it\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\it-it\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\it-it\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\ja-jp\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\ja-jp\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\ja-jp\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\ko-kr\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\ko-kr\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\ko-kr\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\nb-no\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\nb-no\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\nb-no\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\nl-nl\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\nl-nl\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\nl-nl\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\pl-pl\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\pl-pl\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\pl-pl\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\pt-br\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\pt-br\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\pt-br\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\pt-pt\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\pt-pt\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\pt-pt\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\ru-ru\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\ru-ru\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\ru-ru\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\sv-se\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\sv-se\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\sv-se\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\tr-tr\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\tr-tr\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\tr-tr\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\zh-cn\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\zh-cn\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\zh-cn\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\zh-hk\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\zh-hk\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\zh-hk\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\zh-tw\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\zh-tw\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\zh-tw\ recovery+ybgvj.html 威胁已删除
文件: c:\boot\ recovery+ybgvj.png 威胁已删除
文件: c:\boot\ recovery+ybgvj.txt 威胁已删除
文件: c:\boot\ recovery+ybgvj.html 威胁已删除
文件: c:\users\ recovery+ybgvj.png 威胁已删除
文件: c:\users\ recovery+ybgvj.txt 威胁已删除
文件: c:\users\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\c\all_10.0.20\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\c\all_10.0.20\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\c\all_10.0.20\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\c\all_9.4.0.1027\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\c\all_9.4.0.1027\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\c\all_9.4.0.1027\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\c\irs\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\c\irs\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\c\irs\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\c\isc\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\c\isc\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\c\isc\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\c\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\c\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\c\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\itb\x64\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\itb\x64\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\itb\x64\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\itb\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\itb\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\itb\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\m\iastor[11.1.0.1006]\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\m\iastor[11.1.0.1006]\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\m\iastor[11.1.0.1006]\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\m\iastor[13.0.3.1001]\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\m\iastor[13.0.3.1001]\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\m\iastor[13.0.3.1001]\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\m\iastor[13.2.4.1000]\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\m\iastor[13.2.4.1000]\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\m\iastor[13.2.4.1000]\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\m\itm\x64\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\m\itm\x64\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\m\itm\x64\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\m\itm\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\m\itm\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\m\itm\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\m\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\m\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\m\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\1\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\1\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\1\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\2\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\2\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\2\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\3\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\3\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\3\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\4\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\4\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\4\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\5\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\5\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\5\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\6\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\6\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\6\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\7\x64\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\7\x64\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\7\x64\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\7\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\7\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\7\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\8\x64\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\8\x64\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\8\x64\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\8\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\8\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\8\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\mei\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\mei\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\mei\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\board.intel\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\board.intel\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\board.intel\ recovery+ybgvj.html 威胁已删除
文件: c:\drivers\ recovery+ybgvj.png 威胁已删除
文件: c:\drivers\ recovery+ybgvj.txt 威胁已删除
文件: c:\drivers\ recovery+ybgvj.html 威胁已删除
文件: c:\kwdownload\lyric\ recovery+ybgvj.png 威胁已删除
文件: c:\kwdownload\lyric\ recovery+ybgvj.txt 威胁已删除
文件: c:\kwdownload\lyric\ recovery+ybgvj.html 威胁已删除
文件: c:\kwdownload\my lrcx\ recovery+ybgvj.png 威胁已删除
文件: c:\kwdownload\my lrcx\ recovery+ybgvj.txt 威胁已删除
文件: c:\kwdownload\my lrcx\ recovery+ybgvj.html 威胁已删除
文件: c:\kwdownload\song\ recovery+ybgvj.png 威胁已删除
文件: c:\kwdownload\song\ recovery+ybgvj.txt 威胁已删除
文件: c:\kwdownload\song\ recovery+ybgvj.html 威胁已删除
文件: c:\kwdownload\temp\ recovery+ybgvj.png 威胁已删除
文件: c:\kwdownload\temp\ recovery+ybgvj.txt 威胁已删除
文件: c:\kwdownload\temp\ recovery+ybgvj.html 威胁已删除
文件: c:\kwdownload\ recovery+ybgvj.png 威胁已删除
文件: c:\kwdownload\ recovery+ybgvj.txt 威胁已删除
文件: c:\kwdownload\ recovery+ybgvj.html 威胁已删除
文件: c:\okdos\ recovery+ybgvj.png 威胁已删除
文件: c:\okdos\ recovery+ybgvj.txt 威胁已删除
文件: c:\okdos\ recovery+ybgvj.html 威胁已删除
文件: c:\perflogs\admin\ recovery+ybgvj.png 威胁已删除
文件: c:\perflogs\admin\ recovery+ybgvj.txt 威胁已删除
文件: c:\perflogs\admin\ recovery+ybgvj.html 威胁已删除
文件: c:\perflogs\ recovery+ybgvj.png 威胁已删除
文件: c:\perflogs\ recovery+ybgvj.txt 威胁已删除
文件: c:\perflogs\ recovery+ybgvj.html 威胁已删除
文件: c:\ppsfile\ recovery+ybgvj.png 威胁已删除
文件: c:\ppsfile\ recovery+ybgvj.txt 威胁已删除
文件: c:\ppsfile\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\av\norton security\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\av\norton security\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\av\norton security\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\av\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\av\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\av\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\ar-sa\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\ar-sa\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\ar-sa\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\bg-bg\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\bg-bg\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\bg-bg\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\cs-cz\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\cs-cz\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\cs-cz\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\da-dk\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\da-dk\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\da-dk\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\de-de\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\de-de\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\de-de\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\el-gr\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\el-gr\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\el-gr\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\en-us\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\en-us\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\en-us\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\es-es\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\es-es\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\es-es\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\et-ee\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\et-ee\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\et-ee\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fi-fi\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fi-fi\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fi-fi\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fr-fr\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fr-fr\ recovery+ybgvj.txt 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fr-fr\ recovery+ybgvj.html 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fsdefinitions\auxpad\ recovery+ybgvj.png 威胁已删除
文件: c:\program files\common files\microsoft shared\ink\fsdefinitions\auxpad\ recovery+ybgvj.txt 威胁已删除
事件: 正在运行进程: c:\windows\ eaoqusclbshn.exe 已终止
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\Microsoft\Windows\CurrentVersion\ Run->12_23-dst 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\ eaoqusclbshn_RASAPI32, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->EnableLinkedConnections, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\xxxsys\, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\ 8F744286BFC2F3C, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:..., 注册表配置单元: 64 位 已修复
注册表更改: HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\ eaoqusclbshn_RASMANCS, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 进程启动: c:\ yonkl.exe, PID:3020 (执行者 c:\yonkl.exe, PID:3020) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

cfhdrty
发表于 2016-2-18 14:29:05 | 显示全部楼层
火绒拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

windows7爱好者
发表于 2016-2-18 17:06:29 | 显示全部楼层
aboringman 发表于 2016-2-18 12:27
AVG:

扫描:miss;

貌似还有衍生物

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

aboringman
发表于 2016-2-18 17:14:19 | 显示全部楼层
windows7爱好者 发表于 2016-2-18 17:06
貌似还有衍生物

衍生物是随机命名,而且出现在随机位置的,所以你错了
看上面IDP的日志
回复

举报

windows7爱好者
发表于 2016-2-18 17:23:43 | 显示全部楼层
aboringman 发表于 2016-2-18 17:14
衍生物是随机命名,而且出现在随机位置的,所以你错了
看上面IDP的日志

大清早蜘蛛抽风,抢走我所有网速,所以,就不要怪我下狠手了
回复

举报

aboringman
发表于 2016-2-18 17:24:45 | 显示全部楼层
windows7爱好者 发表于 2016-2-18 17:23
大清早蜘蛛抽风,抢走我所有网速,所以,就不要怪我下狠手了

蜘蛛乃一代枭雄,你竟然。。。。。。
回复

举报

windows7爱好者
发表于 2016-2-18 17:26:35 | 显示全部楼层
aboringman 发表于 2016-2-18 17:24
蜘蛛乃一代枭雄,你竟然。。。。。。

蜘蛛可是黑科技,抢走我网速就是不能忍,用PowerTool试了试,结果可想而知,蓝了个稀里哗啦,重启蜘蛛赢了,行,你厉害是吧,我卸载还不行嘛
回复

举报

nick20010117
发表于 2016-2-18 18:12:07 | 显示全部楼层
可疑文件: 155D.tmp.exe

风险: 高
路径: C:\Users\Administrator\Desktop\155D.tmp\155D.tmp.exe

详细信息
•    155D.tmp.exe 程序试图修改 Windows System 目录。此文件 C:\WINDOWS\ISLYNTQJFHRC.EXE 由该进程 created。
•    155D.tmp.exe 程序试图随机复制 C:\WINDOWS\ISLYNTQJFHRC.EXE。

修改的文件
•    C:\USERS\ADMINISTRATOR\APPDATA\LOCALLOW\SOGOUPY\VERIFY.INI (created)
•    C:\USERS\ADMINISTRATOR\APPDATA\LOCALLOW\SOGOUPY\COMPONENTS\COMPONENTCONFIG.INI (created)
•    C:\Users\Administrator\Desktop\155D.tmp\155D.tmp.exe
•    C:\WINDOWS\ISLYNTQJFHRC.EXE (created)

修改的注册表
•    \REGISTRY\USER\S-1-5-21-4035673165-3688820562-1120568024-500\SOFTWARE\SOGOUINPUT.USER:SogouComponentFirstLoad (modified: old_value=0x56c598b0 (1455790256), new_value =0x56c598cf (1455790287))
•    \REGISTRY\USER\S-1-5-21-4035673165-3688820562-1120568024-500\SOFTWARE\SOGOUINPUT.USER:Used (modified: old_value=0x56c598b0 (1455790256), new_value =0x56c598cf (1455790287))
回复

举报

墨家小子
 楼主| 发表于 2016-2-19 11:38:10 | 显示全部楼层
1446547521 发表于 2016-2-18 12:24
双击报错,闪退

你是不是用ESET的hips,开着那个防御漏洞攻击的选项,关闭内存扫描,木马根本运行不起来
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-16 09:07 , Processed in 0.093644 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表