本帖最后由 绯色鎏金 于 2016-3-24 10:18 编辑
日志过长,与层主沟通无效,特代为编辑,如有异议请去投诉区投诉
附上未编辑之前的截图,仅加入代码框以及本段提示文字,除此以外保留原楼层内容
[mw_shl_code=css,true]文件名: eloyfe.exe
威胁名称: SONAR.SelfHijack!gen1
完整路径: 不可用
____________________________
详细信息
极少用户信任的文件, 极新的文件, 风险 高
原始
下载自
未知
活动
已执行的操作: 132
____________________________
在电脑上的创建时间
2016-3-23 ( 11:09:30 )
上次使用时间
2016-3-23 ( 11:09:30 )
启动项目
是
已启动
是
____________________________
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
来源: 外部介质
源文件:
eloyfe.exe
____________________________
文件操作
文件: c:\users\administrator\documents\ eloyfe.exe 已删除
文件: c:\users\administrator\documents\ +recover+file.txt 已删除
文件: c:\$recycle.bin\s-1-5-21-1429125506-3924845992-1376771031-500\ +-help-recover-+yecjt-+.png 已删除
文件: c:\$recycle.bin\s-1-5-21-1429125506-3924845992-1376771031-500\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\$recycle.bin\s-1-5-21-1429125506-3924845992-1376771031-500\ +-help-recover-+yecjt-+.html 已删除
文件: c:\$recycle.bin\s-1-5-21-336758412-234705439-161296717-500\ +-help-recover-+yecjt-+.png 已删除
文件: c:\$recycle.bin\s-1-5-21-336758412-234705439-161296717-500\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\$recycle.bin\s-1-5-21-336758412-234705439-161296717-500\ +-help-recover-+yecjt-+.html 已删除
文件: c:\$recycle.bin\ +-help-recover-+yecjt-+.png 已删除
文件: c:\$recycle.bin\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\$recycle.bin\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\cs-cz\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\cs-cz\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\cs-cz\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\da-dk\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\da-dk\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\da-dk\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\de-de\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\de-de\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\de-de\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\el-gr\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\el-gr\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\el-gr\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\en-us\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\en-us\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\en-us\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\es-es\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\es-es\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\es-es\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\fi-fi\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\fi-fi\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\fi-fi\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\fonts\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\fonts\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\fonts\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\fr-fr\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\fr-fr\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\fr-fr\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\hu-hu\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\hu-hu\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\hu-hu\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\it-it\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\it-it\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\it-it\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\ja-jp\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\ja-jp\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\ja-jp\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\ko-kr\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\ko-kr\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\ko-kr\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\nb-no\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\nb-no\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\nb-no\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\nl-nl\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\nl-nl\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\nl-nl\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\pl-pl\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\pl-pl\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\pl-pl\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\pt-br\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\pt-br\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\pt-br\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\pt-pt\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\pt-pt\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\pt-pt\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\ru-ru\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\ru-ru\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\ru-ru\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\sv-se\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\sv-se\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\sv-se\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\tr-tr\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\tr-tr\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\tr-tr\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\zh-cn\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\zh-cn\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\zh-cn\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\zh-hk\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\zh-hk\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\zh-hk\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\zh-tw\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\zh-tw\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\zh-tw\ +-help-recover-+yecjt-+.html 已删除
文件: c:\boot\ +-help-recover-+yecjt-+.png 已删除
文件: c:\boot\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\boot\ +-help-recover-+yecjt-+.html 已删除
文件: c:\config.msi\ +-help-recover-+yecjt-+.png 已删除
文件: c:\config.msi\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\config.msi\ +-help-recover-+yecjt-+.html 已删除
文件: c:\users\ +-help-recover-+yecjt-+.png 已删除
文件: c:\users\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\users\ +-help-recover-+yecjt-+.html 已删除
文件: c:\dosh\ghos\ +-help-recover-+yecjt-+.png 已删除
文件: c:\dosh\ghos\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\dosh\ghos\ +-help-recover-+yecjt-+.html 已删除
文件: c:\dosh\ +-help-recover-+yecjt-+.png 已删除
文件: c:\dosh\ +-help-recover-+yecjt-+.txt 已删除
文件: c:\dosh\ +-help-recover-+yecjt-+.html 已删除
事件: 正在运行进程: c:\users\administrator\documents\ eloyfe.exe 已终止
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->+++fpng 已删除
注册表更改: HKEY_USERS\.DEFAULT\Software\ trueimg 已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\trueimg\ 已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1458702606 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ trueimg->ID 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ FC87CB271ADD7863 已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\ FC87CB271ADD7863->data 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Run->+++fpng 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ System->EnableLinkedConnections 已删除
注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ eloyfe_RASAPI32 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASAPI32->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASAPI32->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASAPI32->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASAPI32->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASAPI32->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASAPI32->FileDirectory 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ eloyfe_RASMANCS 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASMANCS->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASMANCS->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASMANCS->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASMANCS->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASMANCS->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ eloyfe_RASMANCS->FileDirectory 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:... 已修复
____________________________
网络操作
事件: 网络活动 (执行者 c:\users\administrator\documents\eloyfe.exe, PID:3004) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\administrator\documents\eloyfe.exe, PID:3800) 未采取操作
事件: 进程启动: c:\users\administrator\documents\ eloyfe.exe, PID:3004 (执行者 c:\users\administrator\documents\eloyfe.exe, PID:3800) 未采取操作
事件: 进程启动 (执行者 c:\users\administrator\documents\eloyfe.exe, PID:3004) 未采取操作
事件: 进程启动: c:\users\administrator\documents\ eloyfe.exe, PID:3800 (执行者 c:\users\administrator\documents\eloyfe.exe, PID:3800) 未采取操作
(执行者 c:\users\administrator\documents\eloyfe.exe, PID:3004) 未采取操作
____________________________
可疑操作
事件: 击键捕获 (执行者 c:\users\administrator\documents\eloyfe.exe, PID:3004) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code] |
发表于 2016-3-23 10:09:00
楼主