蓝屏敲竹杠

1446547521

123

双击党何在

z2009

解压avg秒

ELOHIM

胖福

双击后屏幕被锁定，只是像蓝屏，系统无法操作，无奈注销系统，重进系统后SONAR杀了！

文件名: 网赚教程.exe
威胁名称: SONAR.Heuristic.132
完整路径: 不可用
____________________________

详细信息
极少用户信任的文件,  发布已久的文件,  风险 高

原始
下载自
 未知

活动
已执行的操作: 15
____________________________

在电脑上的创建时间 
2016-2-21 ( 13:50:37 )

上次使用时间 
2016-2-21 ( 13:50:37 )


启动项目 
是

已启动 
是
____________________________

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

发布已久的文件
该文件已在  31 天 1 年 8 个月 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

来源: 外部介质

源文件:
explorer.exe

创建的文件:
网赚教程.exe
____________________________

文件操作

文件: f:\norton样本\临时收集\ 网赚教程.exe 已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run->blue 已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\Policies\ System->DisableTaskMgr 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run->blue 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1456034234 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:4020) 未采取操作
事件: PE 文件创建: c:\windows\system32\ winlockdll.dll (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:4020) 未采取操作
(执行者 f:\norton样本\临时收集\网赚教程.exe, PID:4020) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 网赚教程.exe, PID:4020 (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:4020) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:2956) 未采取操作
事件: PE 文件创建: c:\windows\system32\ winlockdll.dll (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:2956) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 网赚教程.exe, PID:2956 (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:2956) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:4020) 未采取操作
事件: 击键捕获 (执行者 f:\norton样本\临时收集\网赚教程.exe, PID:4020) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

xyz0703

21.02.2016 14.04.41;检测到的对象（文件）已删除。;C:\Users\Yizhou\Desktop\网赚教程.exe;Windows Explorer;C:\Users\Yizhou\Desktop\网赚教程.exe;02/21/2016 14:04:41;Trojan.Win32.Diztakun.dbq

aboringman

AVG：

扫描：pass；

双击：关闭监控，实机双击，起初被锁屏，然而，一切都是假象，IDP击杀之！（又现Unknown报法【需重启】）

"";"Unknown, C:\Users\killer\Desktop\网赚教程.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/21, 14:06:10"

"";", C:\Users\killer\Desktop\网赚教程.exe";"Object was blocked";"Process";"2016/2/21, 14:06:10"

"";", C:\Windows\System32\winlogon.exe";"Object was blocked";"Process";"2016/2/21, 14:06:10"

"";", C:\Windows\System32\userinit.exe";"Object was blocked";"Process";"2016/2/21, 14:06:10"

"";", C:\Windows\explorer.exe";"Object was blocked";"Process";"2016/2/21, 14:06:10"

"";", C:\Windows\explorer.exe";"Object was blocked";"Process";"2016/2/21, 14:06:10"

"";", C:\Windows\explorer.exe";"Object was blocked";"Process";"2016/2/21, 14:06:10"

"";", C:\Windows\System32\WinLockDll.dll";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/21, 14:06:10"

"";", HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\BLUE";"Deleted, Moved to Virus Vault";"Registry value";"2016/2/21, 14:06:10"

"";", HKEY_USERS\S-1-5-21-540828005-2055914412-3868506426-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM";"Deleted, Moved to Virus Vault";"Registry key";"2016/2/21, 14:06:10"

"";", HKEY_USERS\S-1-5-21-540828005-2055914412-3868506426-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\\DISABLETASKMGR";"Deleted";"Registry value";"2016/2/21, 14:06:10"

cfhdrty

kis

猥琐大叔

tg123321

被wd秒了，叫我如何双击

辽宁大连~~小海

猥琐大叔 发表于 2016-2-21 14:27

你双击试试？！