Zeus和Carberp的下一代混合体Win32.Bolik.1

Translogic

nick20010117

再来一个双击
AVG kill
"";"IDP.Program.D1B0A5C0, C:\Users\Administrator\Desktop\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe";"已隔离, 需要重新启动才能完成操作";"文件或目录";"2016/6/25, 17:16:41"
"";", C:\Windows\System32\svchost.exe";"需要重新启动才能完成操作";"进程";"2016/6/25, 17:16:41"
"";", C:\Users\Administrator\Desktop\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe";"已阻止该对象";"进程";"2016/6/25, 17:16:41"

，就一个.

双击GD的BB拦截了

AVA 25.7170
GD 25.7178

*** Process ***

Process: 8092
File name: 6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe
Path: e:\迅雷下载\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe

Publisher: Unknown publisher
Creation date: 06/29/16 16:35:37
Modification date: 06/24/16 01:37:08

Started by: Explorer.EXE
Publisher: Microsoft Windows


*** Actions ***

The virus scanner has detected that the file is malicious.
An unknown process was accessed.


*** Quarantine ***

The following files were moved into quarantine:
c:\users\administrator\appdata\local\microsoft\windows\actioncentercache\7cb0633a-85d6-4eea-a95c-eb465ec116f3.png
c:\users\administrator\appdata\roaming\microsoft\windows\recent\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.7z.lnk
c:\users\administrator\appdata\roaming\microsoft\windows\recent\automaticdestinations\46f433176bc0b3d2.automaticdestinations-ms
c:\users\administrator\appdata\roaming\microsoft\windows\recent\automaticdestinations\5f7b5f1e01b83767.automaticdestinations-ms
c:\users\administrator\appdata\roaming\microsoft\windows\recent\automaticdestinations\f01b4d95cf55d32a.automaticdestinations-ms
c:\users\administrator\appdata\roaming\microsoft\windows\recent\trojans.rar.lnk
c:\users\administrator\appdata\roaming\microsoft\windows\recent\迅雷下载.lnk
e:\迅雷下载\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe

The following registry entries were deleted:


YHJyDi8nKCcoJganQicodIJiYnArJygnKCYGuXLikC4nJyYmJwfKcnJiYnJysCknKCYmJwiscnJycmJi8CgnKScpJganKxf2NWYsJxf2NWYsJyYGty8nJycnJgbHLicnJiYnB8cvJycmJicH5ygnZ3CPcqKAlnJyAAA
Rules version: 5.0.113
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
dll version: 63077

"E:\迅雷下载\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434\6cdff1af5b0011c4e7f091b9f457e14f935c1c683a6493974c2e9ed68ecb0434.exe"
MD5: 29EB464FB4D020FE1662D472641B5920
C:\WINDOWS\Explorer.EXE
MD5:

qqddliu 发表于 2016-6-24 10:42
危险的宙斯和Carberp发现self-spreading继任者
2016年6月3日

请问，那个星火是什么东西啊？能提供下载吗，感觉好厉害，这里新人一枚。

qqddliu

68221281 发表于 2016-6-30 08:33
请问，那个星火是什么东西啊？能提供下载吗，感觉好厉害，这里新人一枚。

只在xp上用的，在其他系统不敢保证。用的是火绒的自定义规则，也有很多防不住的，我个人认为不如好多纯hips软件。

qqddliu 发表于 2016-6-30 22:06
只在xp上用的，在其他系统不敢保证。用的是火绒的自定义规则，也有很多防不住的，我个人认为不如好多纯hi ...

谢谢。以前下过comodo，感觉注册表防护方面不怎么样，很多360都报了（迅雷），它都不报。请问您觉得那个纯hips不错呢？

qqddliu

68221281 发表于 2016-6-30 22:59
谢谢。以前下过comodo，感觉注册表防护方面不怎么样，很多360都报了（迅雷），它都不报。请问您觉得那个 ...

MD hips应该是不错的。

qqddliu 发表于 2016-7-1 09:02
MD hips应该是不错的。

谢谢

hup

杀

lyqzg

红伞拦截，是 TR/Injector.4677 特洛伊木马