带有Ramnit，Parite感染的MBR敲竹杠，这酸爽难以置信，同样实机运行警告！

显示全部楼层 · 发表于 2016-4-11 13:18:28

微软

Scan started on Mon Apr 11 13:17:55 2016

C:\Users\XuanXia\Desktop\CE-10????.rar->CE-10????\CE-10????\cheatengine-x86_64.exe                            Infected: Trojan:Win32/Bagsu!rfn [non_writable_container]
C:\Users\XuanXia\Desktop\CE-10????.rar->CE-10????\CE-10????\???????.exe                                        Infected: Virus:Win32/Ramnit.A [non_writable_container]
C:\Users\XuanXia\Desktop\CE-10????.rar->CE-10????\CE-10????\???????Srv.exe                                     Infected: Virus:Win32/Parite.B [non_writable_container]
Successfully checked: C:\Users\XuanXia\Desktop\CE-10????.rar

Scan ended on Mon Apr 11 13:18:00 2016

显示全部楼层 · 发表于 2016-4-11 18:35:30

本帖最后由 dao6 于 2016-4-11 18:36 编辑

liulangzhecgr 发表于 2016-4-11 11:20
运行样本，此弹窗是什么意思？！

过TP。。骗玩LOL的小学生的么

显示全部楼层 · 发表于 2016-4-11 18:49:05

电脑管家

显示全部楼层 · 发表于 2016-4-11 18:56:44

这个有意思呵呵

神奇的小尾巴！

显示全部楼层 · 发表于 2016-4-11 19:06:27

双击之后电脑变这样子了

显示全部楼层 · 发表于 2016-4-11 19:26:31

这玩意上报起来也是酸爽

显示全部楼层 · 发表于 2016-4-11 19:35:46

vmware双击，卡巴报可能有危害的软件，然而好像并没有防住。虚拟机提升磁盘不足，虚拟机文件所在的实机D盘，原本剩余的10g空间被占满。。实机mbr没问题，d盘里文件的大小加起来都比D盘显示的已用空间少

都不知道这些空间让什么占了，求救

显示全部楼层 · 发表于 2016-4-12 07:40:56

深山红叶__ 发表于 2016-4-11 02:27
mima0410
还是红字绿密码，真不知道是抄哪个的。
程序运行后在%Temp%生成cheatengine-x86_64，调用cmd运 ...

文件名: 0410.exe
威胁名称: SONAR.TCP!gen4
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 8

____________________________

在电脑上的创建时间
2016-4-12 ( 07:36:20 )

上次使用时间
2016-4-12 ( 07:36:20 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
0410.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ 0410.exe 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1460417752 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\0410.exe, PID:4660) 未采取操作
(执行者 f:\norton样本\临时收集\0410.exe, PID:4660) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 0410.exe, PID:4660 (执行者 f:\norton样本\临时收集\0410.exe, PID:4660) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\0410.exe, PID:2488) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 0410.exe, PID:2488 (执行者 f:\norton样本\临时收集\0410.exe, PID:2488) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-4-14 11:14:36

我去，还真有人实机双击，这怎么恢复？

显示全部楼层 · 发表于 2016-4-17 16:09:14

qq2575044704 发表于 2016-4-11 19:06
双击之后电脑变这样子了

我去qq上骂了他一顿。。。。。。。

[病毒样本] 带有Ramnit，Parite感染的MBR敲竹杠，这酸爽难以置信，同样实机运行警告！

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块