一個樣本

显示全部楼层 · 发表于 2016-6-17 20:17:20

密碼：infected

显示全部楼层 · 发表于 2016-6-17 20:19:02

显示全部楼层 · 发表于 2016-6-17 20:21:16

FSCS 解压报毒

显示全部楼层 · 发表于 2016-6-17 20:27:06

【1】2016-06-17 20:26:05,系统防护,自定义防护,15476.exe触犯 , 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【应用程序保护】〖风险程序〗
操作类型：执行
C:\WINDOWS\system32\cmd.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-06-17 20:26:03,系统防护,自定义防护,15476.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【文件保护】〖常用目录〗通常存放一些应用程序所需的数据文件。允许创建除可执行文件之外的其他所有文件。
操作类型：创建
操作文件：C:\Documents and Settings\Administrator\Application Data\{22C73721-3A20-34F0-011D-F3EF896C9B67}
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-06-17 20:26:03,系统防护,自定义防护,15476.exe触犯 , 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【应用程序保护】〖黑名单〗命令行窗口，许多病毒的破坏功能都要调用此程序,允Explorer.exe调用。
操作类型：执行
C:\WINDOWS\system32\cmd.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-06-17 20:25:59,系统防护,自定义防护,15476.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【注册表保护】〖自启动〗防止病毒利用屏保实现自启动
操作类型：写入
操作注册表：HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-06-17 20:25:56,系统防护,自定义防护,15476.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【注册表保护】〖自启动〗可以设置随命令行窗口的启动而自启动
操作类型：创建
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Command Processor
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-06-17 20:25:54,系统防护,自定义防护,15476.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【注册表保护】〖其他相关〗系统辅助功能设置
操作类型：创建
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-06-17 20:25:51,系统防护,自定义防护,15476.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\15476.exe
触犯规则：●星火●【注册表保护】〖自启动〗常规启动项
操作类型：创建
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
用户操作：已阻止

显示全部楼层 · 发表于 2016-6-17 20:28:52

显示全部楼层 · 发表于 2016-6-17 20:29:25

本帖最后由 ELOHIM 于 2016-6-17 20:30 编辑

Windows Defender

显示全部楼层 · 发表于 2016-6-17 20:36:07

文件名: 15476.exe
威胁名称: Trojan.Cryptolocker.AH完整路径: c:\users\l\desktop\新建文件夹\15476\15476.exe

____________________________

____________________________

在电脑上
2016/6/17 ( 20:33:32 )

上次使用时间
2016/6/17 ( 20:35:33 )

启动项
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

15476.exe 威胁名称: Trojan.Cryptolocker.AH
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
15476.exe

____________________________

文件操作

文件: c:\users\l\desktop\新建文件夹\15476\ 15476.exe 已删除
____________________________

文件指纹 - SHA:
4a8c26a6b076ef970e4761950b6be04f9eb6dc28df4e385f2ffef199527a2a1f
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-6-17 20:57:15

火绒kill

显示全部楼层 · 发表于 2016-6-17 21:35:45

17.06.2016 21.35.18;检测到的对象 ( 文件 ) 已删除。;C:\Users\xyz11\AppData\Local\Temp\Rar$DRb0.542\15476.exe;C:\Users\xyz11\AppData\Local\Temp\Rar$DRb0.542\15476.exe;Trojan-Ransom.Win32.Zerber.fxa;木马程序;06/17/2016 21:35:18

显示全部楼层 · 发表于 2016-6-18 00:22:37

[病毒样本] 一個樣本

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块