ESS9 miss,
NS双击
[mw_shl_code=css,true]文件名: lywrgbgxgtqu.exe
威胁名称: SONAR.Heuristic.142完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间?
2016/2/19 ( 12:46:31 )
上次使用时间?
2016/2/19 ( 12:46:31 )
启动项目?
是
已启动?
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
lywrgbgxgtqu.exe 威胁名称: SONAR.Heuristic.142
定位
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
lywrgbgxgtqu.exe
____________________________
文件操作
文件: c:\windows\ lywrgbgxgtqu.exe 威胁已删除
文件: c:\ recover_file_ghbmegjkv.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-18\ recovery+gotve.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-18\ recovery+gotve.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-18\ recovery+gotve.html 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-1000\ recovery+gotve.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-1000\ recovery+gotve.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-1000\ recovery+gotve.html 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-500\ recovery+gotve.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-500\ recovery+gotve.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-3847003350-3214859161-2645151503-500\ recovery+gotve.html 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-4230695508-2665832764-745859615-500\ recovery+gotve.png 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-4230695508-2665832764-745859615-500\ recovery+gotve.txt 威胁已删除
文件: c:\$recycle.bin\s-1-5-21-4230695508-2665832764-745859615-500\ recovery+gotve.html 威胁已删除
文件: c:\$recycle.bin\ recovery+gotve.png 威胁已删除
文件: c:\$recycle.bin\ recovery+gotve.txt 威胁已删除
文件: c:\$recycle.bin\ recovery+gotve.html 威胁已删除
文件: c:\boot\cs-cz\ recovery+gotve.png 威胁已删除
文件: c:\boot\cs-cz\ recovery+gotve.txt 威胁已删除
文件: c:\boot\cs-cz\ recovery+gotve.html 威胁已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\Microsoft\Windows\CurrentVersion\ Run->qityeepjlqrb 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->EnableLinkedConnections, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\xxxsys\, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\ 7A3BF7F397E55F, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\ lywrgbgxgtqu_RASAPI32, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\ lywrgbgxgtqu_RASMANCS, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-4230695508-2665832764-745859615-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:..., 注册表配置单元: 64 位 已修复
____________________________
网络操作
事件: 网络活动 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:1212) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:552) 未采取操作
(执行者 c:\windows\lywrgbgxgtqu.exe, PID:552) 未采取操作
事件: 进程启动: c:\windows\ lywrgbgxgtqu.exe, PID:1212 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:552) 未采取操作
事件: 进程启动 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:1212) 未采取操作
事件: 进程启动: c:\windows\ lywrgbgxgtqu.exe, PID:552 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:552) 未采取操作
事件: 进程启动: c:\Windows\System32\wbem\ WMIC.exe, PID:2808 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:1212) 未采取操作
事件: 进程启动: c:\windows\ lywrgbgxgtqu.exe, PID:1212 (执行者 c:\windows\lywrgbgxgtqu.exe, PID:1212) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code] |
[复制链接]
发表于 2016-2-19 11:32:18
,目前正在裸奔,享受速度
