ramdisk

显示全部楼层 · 发表于 2016-2-21 14:08:44

rrorr 发表于 2016-2-20 13:11
这是疯狂模式？

是的！就是疯狂模式！

显示全部楼层 · 发表于 2016-2-21 16:00:02

windows7爱好者发表于 2016-2-20 12:42
曾经我们觉得加密勒索已经过时了，现在看来，才是人家的舞台啊
呼叫HIPS前来支援

印象中加密勒索多年以前只是小众。如今都快成大趋势了。。

显示全部楼层 · 发表于 2016-2-21 16:02:56

qftest 发表于 2016-2-20 22:04
现在网上有付费定制病毒的服务，收益采用分成的方式，不用你懂代码只要注册帐号后支付服务费就可以了
只 ...

难怪这个毒瘤这几年跟雨后春笋一般从哪都能冒出来，原来都已经做成产业链了

显示全部楼层 · 发表于 2016-2-21 18:12:36

bbszy 发表于 2016-2-21 12:19
是这样的，在趋势的更新页面或者趋势诊断工具里，可以查看更新是否完成以及当前的云索引版本号。一般来 ...

我恢复到了昨天的快照，看了云端查询过滤器版本为16101.002.95后解压双击，趋势仍无任何反应
2、恢复到了昨天的快照，断网，静置5分钟，解压双击，趋势仍无任何反应

显示全部楼层 · 发表于 2016-2-21 18:14:31

rrorr 发表于 2016-2-21 18:12
我恢复到了昨天的快照，看了云端查询过滤器版本为16101.002.95后解压双击，趋势仍无任何反应
2、恢复到 ...

趋势不适合测试断网欸。。。

显示全部楼层 · 发表于 2016-2-21 18:55:45

bbszy 发表于 2016-2-21 18:14
趋势不适合测试断网欸。。。

所以是没连上服务器而不是云端查询过滤器版本问题咯

显示全部楼层 · 发表于 2016-2-21 22:27:55

GD主房击杀，没有加密

AVA 25.5605
GD 25.6398

*** 进程 ***

进程: 2936
文件名: ramdisk.exe
路径: e:\ramdisk.exe

发行商：: 未知发行商
创建日期: 02/21/16 14:25:46
修改日期: 08/01/14 16:05:16

启动进程：: explorer.exe
发行商：: Microsoft Windows

*** 操作 ***

病毒扫描程序已检测出此文件是恶意程序。
程序已写入可能危及系统的文件或文件夹。
可执行文件被保存在一个可疑位置。

*** 隔离区 ***

下列文件被转入隔离区：
E:\ramdisk.exe
e:\runs.bat
f:\加qq410289196.txt

下列注册表项被删除：

YHLS0HKCcoJiYuBygisnuGJi8HJycnJiYnAqdHJCJycmBrdycnJyYmKQKScHuXKycKhygnKCYmJw6HJycnJiYnC6wvFcY6ZywvFcY6ZyYmJw7XJycnJiYnD9coJygmJicI5ysnCPcnJw/3JycnJiYgAA
规则版本： 5.0.83
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
DLL版本： 55982

"E:\ramdisk.exe"
MD5: DE54A7FF6676BAC74FD329234831CDD7
C:\Windows\Explorer.EXE
MD5:

显示全部楼层 · 发表于 2016-2-22 13:47:18

eset
name="C:\Users\XuanXia\Desktop\ramdisk\ramdisk.exe", threat="a variant of Win32/Filecoder.EL trojan", action="", info=""

猎豹
Win32.Heur.KVM011.a.(kcloud)

[可疑文件] ramdisk

本帖子中包含更多资源