神网货源充足

windows7爱好者

https://www.virustotal.com/en/fi ... nalysis/1459265718/

SHA256:        9733bb15e55b389ce9ad5ca15fc43e71cd4fc010c9ad8aa0f69d965147e967b5
File name:        TMP3B9A.exe
Detection ratio:        6 / 56
Analysis date:        2016-03-29 15:35:18 UTC ( 1 minute ago )

Baidu        Win32.Trojan.WisdomEyes.151026.9950.9998        20160329
Bkav        HW32.Packed.84CB        20160329
McAfee        Suspect-AN!13B2867CC188        20160329
McAfee-GW-Edition        BehavesLike.Win32.Virut.dc        20160329
Qihoo-360        QVM19.1.Malware.Gen        20160329
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160329

https://www.virustotal.com/en/fi ... nalysis/1459265866/

SHA256:        dceaa3099e5c135f77bb4b2b03423a2557af23210830f3fabbe2ecf768e7986d
File name:        provsvc.dll
Detection ratio:        5 / 56
Analysis date:        2016-03-29 15:37:46 UTC ( 0 minutes ago )

Baidu        Win32.Trojan.WisdomEyes.151026.9950.9952        20160329
Bkav        HW32.Packed.5DAC        20160329
McAfee-GW-Edition        BehavesLike.Win32.Fednu.fh        20160329
Qihoo-360        HEUR/QVM40.1.Malware.Gen        20160329
Rising        PE:Malware.Generic(Thunder)!1.A1C4 [F]        20160329



假冒系统文件，跟随系统启动（系统在启动真正的DLL时也会同时启动假冒的DLL，具体怎么做到的我不清楚，可能跟文件名有关，黑科技 ）我说我怎么在ARK里一直找不到你呢，原来在ARK工具里打开的dll会指向系统的DLL，名称也是系统DLL，实际上，是病毒的DLL

注销之后，那些被启动的异常进程继续跟随系统启动，而且可以发现，我自己启动的记事本和这些被注入的程序是分开的

Virtualization

卡巴

saga3721

红伞云查杀
'TR/Crypt.ZPACK.dceaa3 (Cloud)' [trojan]
'TR/Crypt.ZPACK.Gen2 (Cloud)' [trojan]

jmekoda1

楼主私聊给我网址呗，
我来试试卡巴的防注入牛不牛

supervir

人家钓鱼你钓马，乐在其中

womenluguode

瑞星, 报。楼主也是不简单，哈哈~

蓝天二号

诺顿

文件名: tmp3b9a.exe
威胁名称: SONAR.Heuristic.144完整路径: 不可用

____________________________

____________________________


在电脑上 
2016/3/30 ( 14:55:47 )

上次使用时间 
2016/3/30 ( 14:55:47 )

启动项 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


tmp3b9a.exe 威胁名称: SONAR.Heuristic.144
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
360zip_setup_3.2.0.2100.exe

创建的文件:
360zip.exe

创建的文件:
tmp3b9a.exe

____________________________

文件操作

文件: c:\users\microsoft\desktop\新建文件夹\ tmp3b9a.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp3b9a.exe, PID:5464) 未采取操作
事件: PE 文件创建: c:\360sandbox\shadow\users\microsoft\documents\ scedxc.exe (执行者 c:\users\microsoft\desktop\新建文件夹\tmp3b9a.exe, PID:5464) 未采取操作
事件: 进程启动: c:\users\microsoft\desktop\新建文件夹\ tmp3b9a.exe, PID:5464 (执行者 c:\users\microsoft\desktop\新建文件夹\tmp3b9a.exe, PID:5464) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

轩夏

eset

Scan started at:   04/01/16 10:47:08
name="C:\Users\XuanXia\Desktop\TMP3B9A\provsvc.dll", threat="a variant of Win32/Kryptik.ESQR trojan", action="", info=""
name="C:\Users\XuanXia\Desktop\TMP3B9A\TMP3B9A.exe", threat="a variant of Win32/Kryptik.ESQB trojan", action="", info=""

Scan completed at: 04/01/16 10:47:09