File name: 63BA.tmp.exe Detection ratio: 2 / 55 加密勒索挂马

显示全部楼层 · 发表于 2016-2-25 20:32:58

SHA256: 8180fbfc33614ffdc88029a21b272f7f90fc6f995348a283d6c2a1261ee3b0c7
File name: 63BA.tmp.exe
Detection ratio: 2 / 55
Analysis date: 2016-02-25 12:30:18 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/8180fbfc33614ffdc88029a21b272f7f90fc6f995348a283d6c2a1261ee3b0c7/analysis/1456403418/

Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160225
Rising PE:Trojan.Ransom-Tesla!1.A456 [F] 20160225

显示全部楼层 · 发表于 2016-2-25 20:44:36

那2张图没有被加密
[mw_shl_code=css,true]Mitigation CryptoGuard

Platform    6.1.7601/x86 06_3c*
PID       3076
Application  C:\Windows\imtyxhxociud.exe
Description  Longhand Lumbar Insole 0.138

Filename    C:\Windows\imtyxhxociud.exe

C:\Users\Administrator.PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8ORKVNOM\blank[1].png
C:\Users\Administrator.PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8ORKVNOM\bkgrey[1].png
C:\$Recycle.Bin\S-1-5-21-2822333451-2535238799-2698388218-500\$RGGXS6Y.doc

Code Injection
00400000-00486000  536KB C:\Windows\imtyxhxociud.exe [264]
7FFD4000-7FFD5000 4KB
1  C:\Windows\imtyxhxociud.exe [264]
2  C:\Users\Administrator.PC\Desktop\63BA.tmp.exe [3108]
3  C:\Users\Administrator.PC\Desktop\63BA.tmp.exe [2772]
4  C:\Windows\explorer.exe [3528]
5  C:\Windows\System32\userinit.exe [3444]
6  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
7  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040

Process Trace
1  C:\Windows\imtyxhxociud.exe [3076]
2  C:\Windows\imtyxhxociud.exe [264]
3  C:\Users\Administrator.PC\Desktop\63BA.tmp.exe [3108]
4  C:\Users\Administrator.PC\Desktop\63BA.tmp.exe [2772]
5  C:\Windows\explorer.exe [3528]
6  C:\Windows\System32\userinit.exe [3444]
7  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
8  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040
[/mw_shl_code]

显示全部楼层 · 发表于 2016-2-25 20:46:08

25.02.2016 20.45.31;检测到的对象（文件）已删除。;C:\Users\Administrator\Downloads\63BA.tmp.exe;C:\Users\Administrator\Downloads\63BA.tmp.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;02/25/2016 20:45:31

显示全部楼层 · 发表于 2016-2-25 20:51:00

声纳被过

显示全部楼层 · 发表于 2016-2-25 20:53:26

声纳
[mw_shl_code=css,true]文件名: 63ba.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
不可用

上次使用时间
( )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

63ba.tmp.exe 威胁名称: SONAR.SelfHijack!gen1
定位

未知
诺顿社区中使用了此文件的用户数未知。

未知
此文件版本当前未知。

高
此文件具有高风险。

____________________________

来源: 外部介质

____________________________

文件操作

文件: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe 不需要操作
事件: 正在运行进程: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe 已终止
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ 63BA_RASAPI32 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 63BA_RASAPI32->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 63BA_RASAPI32->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 63BA_RASAPI32->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 63BA_RASAPI32->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 63BA_RASAPI32->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ 63BA_RASAPI32->FileDirectory 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3852) 未采取操作
(执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3852) 未采取操作
事件: 进程启动 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3772) 未采取操作
(执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3772) 未采取操作
事件: 进程启动: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe, PID:3800 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3852) 未采取操作
事件: 进程启动: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe, PID:2612 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3772) 未采取操作
事件: 进程启动: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe, PID:3852 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3852) 未采取操作
事件: 进程启动: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe, PID:3772 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3772) 未采取操作
事件: 进程启动 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:2612) 未采取操作
事件: 进程启动: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe, PID:2612 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:2612) 未采取操作
事件: 进程启动 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3800) 未采取操作
事件: 进程启动: c:\users\administrator.pc\desktop\63ba.tmp\ 63ba.tmp.exe, PID:3800 (执行者 c:\users\administrator.pc\desktop\63ba.tmp\63ba.tmp.exe, PID:3800) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

显示全部楼层 · 发表于 2016-2-25 20:55:14

rrorr 发表于 2016-2-25 20:53
声纳
[mw_shl_code=css,true]文件名: 63ba.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

你什么系统啊？

显示全部楼层 · 发表于 2016-2-25 20:57:21

过bg扫描，360下载保护杀
恢复，双击，还是360杀

显示全部楼层 · 发表于 2016-2-25 20:59:09

1446547521 发表于 2016-2-25 20:55
你什么系统啊？

虚拟机win7 32，你是win10 64？

显示全部楼层 · 发表于 2016-2-25 21:00:41

rrorr 发表于 2016-2-25 20:59
虚拟机win7 32，你是win10 64？

我是win10 x64

显示全部楼层 · 发表于 2016-2-25 21:01:18

ESET 云拉黑- -

[可疑文件] File name: 63BA.tmp.exe Detection ratio: 2 / 55 加密勒索挂马

本帖子中包含更多资源

评分

本帖子中包含更多资源

浏览过的版块