文件名: a.exe
威胁名称: SONAR.Heuristic.142完整路径: 不可用
____________________________
____________________________
在电脑上
2016/6/4 ( 11:17:33 )
上次使用时间
2016/6/4 ( 11:17:33 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
a.exe 威胁名称: SONAR.Heuristic.142
定位
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
a.exe
____________________________
文件操作
文件: c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\ a.exe 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ verify.ini 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\ componentconfig.ini 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\local\microsoft\clr_v4.0_32\usagelogs\ a.exe.log 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picface_sugg.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\all\sogouinput\components\picface\cloud\ sgim_picface_cloud_bak.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\all\sogouinput\components\picface\cloud\ sgim_picface_cloud.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin.bak 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin.bak 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\components\picface\picfacedata\ qq_pkg_info.dat 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ fastpassport.ini 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ sgim_usr_v2new.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ env.ini 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ sgim_eng.bin 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ inputstaticstics.dat 威胁已删除
文件: c:\sandbox\l\defaultbox\user\current\appdata\locallow\sogoupy\ keymapinfo.bin 威胁已删除
目录: c:\Sandbox\L\defaultbox\user\current\AppData\LocalLow\SogouPy\ usrapp 需要重新启动
____________________________
注册表操作
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\Software\Microsoft\ Fusion, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\SOFTWARE\Microsoft\ .NETFramework, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\Software\Policies\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\Software\Microsoft\ Cryptography, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\SOFTWARE\Classes\ Installer, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\Machine\SOFTWARE\Policies\Microsoft\Windows\ Appx, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\ AppModelUnlock, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_L_DEFAULTBOX\user\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\Users\L\Desktop\新建文件夹\新建压缩(zipped)文件夹\ a.exe.FriendlyAppName, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ LanguagePack, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\MACHINE\SOFTWARE\ WOW6432Node, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\machine\Software\Microsoft\ Tracing, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\user\current\SOFTWARE\Microsoft\Windows\CurrentVersion\ Internet Settings, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\Sandbox_L_DefaultBox\MACHINE\SOFTWARE\Policies\Microsoft\Windows\ CurrentVersion, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\SANDBOX_L_DEFAULTBOX\user\current\software\ SogouInput.user->SogouComponentFirstLoad:1465010198, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\SANDBOX_L_DEFAULTBOX\user\current\software\ SogouInput.user->Used:1465010198, 注册表配置单元: 64 位 已修复
____________________________
网络操作
事件: 网络活动 (执行者 c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\a.exe, PID:10720) 未采取操作
事件: 网络通信上检测到 Symantec IDS 特征 (执行者 c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\a.exe, PID:10720) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\a.exe, PID:10720) 未采取操作
事件: 进程启动: c:\program files (x86)\sogouinput\8.0.0.7885\ sogoucloud.exe, PID:10200 (执行者 c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\a.exe, PID:10720) 未采取操作
事件: 进程启动: c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\ a.exe, PID:10720 (执行者 c:\users\l\desktop\新建文件夹\新建压缩(zipped)文件夹\a.exe, PID:10720) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
|
发表于 2016-6-4 11:06:29
发表于 2016-6-4 11:12:49
McAfee 1X
那个 a.exe 会释放 搜狗输入法文件?????我使用搜狗输入法,这个路径下 appdata\locallow\sogoupy,确实有这些文件啊。。。
吓了我一跳,,还以为反沙箱的,,,
发表于 2016-6-4 19:54:34