广外女生，，，

蓝天二号

链接：http://pan.baidu.com/s/1hsk7ozE


密码：lbq0


压缩包密码  infected

/tiao眼镜鱼

江民杀一个

Eset小粉絲

gwg153b_81000000254252274.exe
  [DETECTION] Is the TR/Dldr.Banload.gzya Trojan

另一個是流氓嗎？

skyboybone

1x

Oranger丶

广外女生 广外幽灵 多少年前的东西了。。。而且楼主发个某下载站的下载器干嘛？楼主你真的双击过了么？这是下载器！！！

蓝天二号

Oranger丶 发表于 2016-5-24 14:48
广外女生 广外幽灵 多少年前的东西了。。。而且楼主发个某下载站的下载器干嘛？楼主你真的双击过了么？这是 ...

你可以不下载的好么？又不是非要你下载 真是的，，

Oranger丶

蓝天二号 发表于 2016-5-24 14:49
你可以不下载的好么？又不是非要你下载 真是的，，

隔着下载器扫？   不过gwg作为远程控制马，控制端肯定没问题啊。楼主应该生成个被控端传上来嘛

蓝天二号

Oranger丶 发表于 2016-5-24 14:51
隔着下载器扫？   不过gwg作为远程控制马，控制端肯定没问题啊。楼主应该生成个被控端传上来嘛[:3 ...

我也只是无意中下载到的嘛。。。没特意去下载这老病毒。。。

Oranger丶

蓝天二号 发表于 2016-5-24 14:53
我也只是无意中下载到的嘛。。。没特意去下载这老病毒。。。

我等你无意中下载到灰鸽子 无意中下载到阿拉qq大盗 无意中下载到远程控制任我行

胖福

诺顿扫描剩余1，双击剩余：SONAR杀衍生物！

文件名: setup_0696ICJR.exe
完整路径: F:\Norton样本\临时收集\setup_0696ICJR.exe
____________________________

活动
已执行的操作: 21
____________________________

开发人员 
SHANGHAI FENGHAN NETWORK INFORMATION TECHNOLOGY STUDIO

版本 
1.2.3.1

不良
有许多迹象表明此文件不可信。
____________________________

源文件:
setup_0696icjr.exe

进程 ID
904
____________________________

系统更改

c:\users\administrator\appdata\local\temp\nsb36ab.tmp
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\banner.dll
ActiveTime
ActiveSkin
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\riliui.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\socket2.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\system.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\nsisdl.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\nsl400e.tmp
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\nsl400e.tmp
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\inetc.dll
\REGISTRY\MACHINE\Software\Microsoft\Tracing\setup_0696ICJR_RASAPI32
EnableFileTracing
EnableConsoleTracing
FileTracingMask
ConsoleTracingMask
MaxFileSize
FileDirectory
\REGISTRY\MACHINE\Software\Microsoft\Tracing\setup_0696ICJR_RASMANCS
EnableFileTracing
EnableConsoleTracing
FileTracingMask
ConsoleTracingMask
MaxFileSize
FileDirectory
ProxyEnable
SavedLegacySettings
c:\users\administrator\appdata\local\microsoft\windows\temporary internet files\content.ie5\lxae7b4p\linkconfig[1].htm
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\data.xml
ActiveTime
ActiveSkin
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\nsisxml.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\data.txt
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\close.png
Enabled
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\bg2_1.jpg
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\bg2_2.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\chk2_1.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\chk2_2.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\btn2_1.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\btn2_2.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\nsdialogs.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\button.dll
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\shelllink.dll
LanguageList
c:\users\public\desktop\norton 360.lnk
c:\users\public\desktop\腾讯qq.lnk
c:\users\public\desktop\迅雷精简版.lnk
c:\users\administrator\desktop\360amigo.lnk
c:\users\administrator\desktop\google chrome.lnk
c:\users\administrator\desktop\procexp.lnk
c:\users\administrator\desktop\superkiller.lnk
c:\users\administrator\desktop\u8系统.lnk
c:\users\administrator\desktop\成品库管理系统.lnk
c:\users\administrator\desktop\木马扫描.lnk
c:\users\administrator\desktop\生产综合管理系统.lnk
LanguageList
c:\users\public\desktop\norton 360.lnk
c:\users\public\desktop\腾讯qq.lnk
c:\users\public\desktop\迅雷精简版.lnk
c:\users\administrator\desktop\360amigo.lnk
c:\users\administrator\desktop\google chrome.lnk
c:\users\administrator\desktop\procexp.lnk
c:\users\administrator\desktop\superkiller.lnk
c:\users\administrator\desktop\u8系统.lnk
c:\users\administrator\desktop\成品库管理系统.lnk
c:\users\administrator\desktop\木马扫描.lnk
c:\users\administrator\desktop\生产综合管理系统.lnk
LanguageList
c:\users\public\desktop\norton 360.lnk
c:\users\public\desktop\腾讯qq.lnk
c:\users\public\desktop\迅雷精简版.lnk
c:\users\administrator\desktop\360amigo.lnk
c:\users\administrator\desktop\google chrome.lnk
c:\users\administrator\desktop\procexp.lnk
c:\users\administrator\desktop\superkiller.lnk
c:\users\administrator\desktop\u8系统.lnk
c:\users\administrator\desktop\成品库管理系统.lnk
c:\users\administrator\desktop\木马扫描.lnk
c:\users\administrator\desktop\生产综合管理系统.lnk
LanguageList
c:\users\public\desktop\norton 360.lnk
c:\users\public\desktop\腾讯qq.lnk
c:\users\public\desktop\迅雷精简版.lnk
c:\users\administrator\desktop\360amigo.lnk
c:\users\administrator\desktop\google chrome.lnk
c:\users\administrator\desktop\procexp.lnk
c:\users\administrator\desktop\superkiller.lnk
c:\users\administrator\desktop\u8系统.lnk
c:\users\administrator\desktop\成品库管理系统.lnk
c:\users\administrator\desktop\木马扫描.lnk
c:\users\administrator\desktop\生产综合管理系统.lnk
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\tooltips.dll
c:\program files\luoshenli
c:\program files\luoshenli\clock32.dll
c:\program files\luoshenli\clock64.dll
c:\program files\luoshenli\power.exe
c:\program files\luoshenli\softupd.exe
c:\program files\luoshenli\clock32.exe
c:\program files\luoshenli\clock64.exe
c:\program files\luoshenli\lsl.exe
c:\program files\luoshenli\online_c.html
c:\program files\luoshenli\uninst.exe
c:\program files\luoshenli\data
c:\program files\luoshenli\data\2013.xml
c:\program files\luoshenli\data\2013jieqi.xml
c:\program files\luoshenli\data\2014.xml
c:\program files\luoshenli\data\2014jieqi.xml
c:\program files\luoshenli\data\huangli.mdb
c:\program files\luoshenli\data\usernotetext.xml
c:\program files\luoshenli\data\index.html
c:\program files\luoshenli\softapp.ini
c:\program files\luoshenli\config.ini
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\info.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\chk2_1.png
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\btn2_1.png
LanguageList
c:\users\public\desktop\norton 360.lnk
c:\users\public\desktop\腾讯qq.lnk
c:\users\public\desktop\迅雷精简版.lnk
c:\users\administrator\desktop\360amigo.lnk
c:\users\administrator\desktop\google chrome.lnk
c:\users\administrator\desktop\procexp.lnk
c:\users\administrator\desktop\superkiller.lnk
c:\users\administrator\desktop\u8系统.lnk
c:\users\administrator\desktop\成品库管理系统.lnk
c:\users\administrator\desktop\木马扫描.lnk
c:\users\administrator\desktop\生产综合管理系统.lnk
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\360ini.cab
c:\users\administrator\appdata\local\temp\nsb36ab.tmp\360ini.cab
____________________________

运行项更改

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\lsl.exe
Path
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\lsl.exe
Path
____________________________

网络

#  协议 远程连接 端口
1. TCP 121.40.152.197 6000
2. TCP 121.40.152.197 6000
3. TCP 121.40.152.197 6000
4. TCP 121.40.152.197 6000
5. TCP 121.40.152.197 6000
6. TCP 121.40.152.197 6000
7. TCP 121.40.152.197 6000
8. TCP 121.40.152.197 6000
9. TCP 121.40.152.197 6000
10. TCP 121.40.152.197 6000
11. TCP 121.40.152.197 6000
12. TCP 121.40.152.197 6000
13. TCP 121.40.152.197 6000
14. TCP 121.40.152.197 6000
15. TCP 121.40.152.197 6000
16. TCP 121.40.152.197 6000
17. TCP downcdn1.shgaoxin.net HTTP
18. TCP downcdn1.shgaoxin.net HTTP
19. TCP downcdn1.shgaoxin.net HTTP
20. TCP downcdn1.shgaoxin.net HTTP
21. TCP downcdn1.shgaoxin.net HTTP
____________________________

文件指纹 - SHA:
c34f28f2dbc59825f4aa61de1dd564bbc028f889140af22463aac1ab5f64e177
文件指纹 - MD5:
fbac762aba57a43ed148b9a8c0aa3c67