File name: ABD0.tmp.exe Detection ratio: 2 / 56 Angler Exploit Kit Website 6

显示全部楼层 · 发表于 2016-3-12 09:14:17

本帖最后由墨家小子于 2016-3-12 09:15 编辑

SHA256: 179ed217996cc9fded7a763b4dc12656b3221fb99e008288cb002c85c5ac6010
File name: ABD0.tmp.exe
Detection ratio: 2 / 56
Analysis date: 2016-03-12 01:07:02 UTC ( 1 minute ago )
https://www.virustotal.com/en/file/179ed217996cc9fded7a763b4dc12656b3221fb99e008288cb002c85c5ac6010/analysis/1457744822/

AegisLab Troj.W32.Gen 20160311
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160312

2016/3/12 9:09:49,高,阻止了 localhost 的入侵企图,已阻止,不需要操作,Web Attack: Angler Exploit Kit Website 6,不需要操作,不需要操作,"localhost (127.0.0.1, 5XXX2)",esarhadd.business-dna.eu/topic/62917-naivete-doorstop-worthless-politically-crispiest-projection-kingfisher-sheltering/,"localhost (127.0.0.1, XXX9)",localhost (127.0.0.1),"TCP, 端口 5XXX2",

类别：已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,活动
2016/3/12 9:09:40,高,检测到 shahrooz7[1].htm (Trojan.Malscript) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行的威胁操作: 1

显示全部楼层 · 发表于 2016-3-12 09:52:54

Kaspersky Lab(KSN)

显示全部楼层 · 发表于 2016-3-12 10:53:40

可疑文件： ABD0.tmp.exe

风险：高
路径： C:\Users\Administrator\Desktop\ABD0.tmp\ABD0.tmp.exe

详细信息
• ABD0.tmp.exe 程序试图修改 Windows System 目录。此文件 C:\WINDOWS\HTPJWDQTGXPV.EXE 由该进程 created。
• ABD0.tmp.exe 程序试图随机复制 C:\WINDOWS\HTPJWDQTGXPV.EXE。

修改的文件
• C:\Users\Administrator\Desktop\ABD0.tmp\ABD0.tmp.exe
• C:\WINDOWS\HTPJWDQTGXPV.EXE (created)

显示全部楼层 · 发表于 2016-3-12 10:54:11

3个过avg网页防护，360下载保护杀

全部恢复，全部双击，全部idp杀

显示全部楼层 · 发表于 2016-3-12 11:00:31

文件名: 55cb.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间?
2016/3/12 ( 10:57:43 )

上次使用时间?
2016/3/12 ( 10:57:43 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

55cb.tmp.exe 威胁名称: SONAR.SelfHijack!gen1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
55cb.tmp.exe

____________________________

文件操作

文件: c:\users\m\desktop\55cb.tmp\ 55cb.tmp.exe 威胁已删除
事件: 正在运行进程: c:\users\m\desktop\55cb.tmp\ 55cb.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\m\desktop\55cb.tmp\55cb.tmp.exe, PID:4060) 未采取操作
事件: 进程启动: c:\users\m\desktop\55cb.tmp\ 55cb.tmp.exe, PID:1780 (执行者 c:\users\m\desktop\55cb.tmp\55cb.tmp.exe, PID:4060) 未采取操作
事件: 进程启动: c:\users\m\desktop\55cb.tmp\ 55cb.tmp.exe, PID:4060 (执行者 c:\users\m\desktop\55cb.tmp\55cb.tmp.exe, PID:4060) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

文件名: abd0.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间?
2016/3/12 ( 10:57:35 )

上次使用时间?
2016/3/12 ( 10:57:35 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

abd0.tmp.exe 威胁名称: SONAR.SelfHijack!gen1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
abd0.tmp.exe

____________________________

文件操作

文件: c:\users\m\desktop\abd0.tmp\ abd0.tmp.exe 威胁已删除
事件: 正在运行进程: c:\users\m\desktop\abd0.tmp\ abd0.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\m\desktop\abd0.tmp\abd0.tmp.exe, PID:2512) 未采取操作
事件: 进程启动: c:\users\m\desktop\abd0.tmp\ abd0.tmp.exe, PID:4040 (执行者 c:\users\m\desktop\abd0.tmp\abd0.tmp.exe, PID:2512) 未采取操作
事件: 进程启动: c:\users\m\desktop\abd0.tmp\ abd0.tmp.exe, PID:2512 (执行者 c:\users\m\desktop\abd0.tmp\abd0.tmp.exe, PID:2512) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

文件名: f992.tmp.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间?
2016/3/12 ( 10:57:35 )

上次使用时间?
2016/3/12 ( 10:57:35 )

启动项目?
否

已启动?
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

f992.tmp.exe 威胁名称: SONAR.SelfHijack!gen1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
f992.tmp.exe

____________________________

文件操作

文件: c:\users\m\desktop\f992.tmp\ f992.tmp.exe 威胁已删除
事件: 正在运行进程: c:\users\m\desktop\f992.tmp\ f992.tmp.exe 已终止
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\m\desktop\f992.tmp\f992.tmp.exe, PID:1600) 未采取操作
事件: 进程启动: c:\users\m\desktop\f992.tmp\ f992.tmp.exe, PID:3896 (执行者 c:\users\m\desktop\f992.tmp\f992.tmp.exe, PID:1600) 未采取操作
事件: 进程启动: c:\users\m\desktop\f992.tmp\ f992.tmp.exe, PID:1600 (执行者 c:\users\m\desktop\f992.tmp\f992.tmp.exe, PID:1600) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-3-12 11:56:09

显示全部楼层 · 发表于 2016-3-12 12:08:04

显示全部楼层 · 发表于 2016-3-12 13:00:41

AVG：

扫描：miss；

双击：实机双击，IDP击杀之。（又现ARES【非拉黑】）

"";"IDP.ARES.Generic, C:\Users\killer\Desktop\ABD0.tmp.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/3/12, 12:59:02"

"";", C:\Users\killer\Desktop\ABD0.tmp.exe";"Object was blocked";"Process";"2016/3/12, 12:59:02"

显示全部楼层 · 发表于 2016-3-12 17:48:34

bd全部atc

显示全部楼层 · 发表于 2016-3-12 22:51:33

红伞杀'TR/Crypt.Xpack.425073 [trojan]'

[可疑文件] File name: ABD0.tmp.exe Detection ratio: 2 / 56 Angler Exploit Kit Website 6

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块