本帖最后由 Microsoftheihei 于 2016-8-25 18:43 编辑
nis第一枚
文件名: update.vir
威胁名称: Heur.AdvML.B完整路径: c:\documents and settings\administrator\桌面\update.vir
____________________________
____________________________
在电脑上
2016-8-25 ( 18:34:36 )
上次使用时间
2016-8-25 ( 18:35:00 )
启动项
否
已启动
否
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________
update.vir 威胁名称: Heur.AdvML.B
定位
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
https://att.kafan.cn/forum.php?mo ... jA0MDh8MjA1NDMwNw==
已下载文件 从 att.kafan.cn
来源: 外部介质
winrar.exe
创建的文件:
update.vir
____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\ update.vir 已删除
____________________________
文件指纹 - SHA:
2140d05b96cf6a444c07b48f0b6c69cc05f9ef0789085b66e189a23713c46da8
文件指纹 - MD5:
不可用
第二枚
文件名: encrypted.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用
____________________________
____________________________
在电脑上
2016-8-25 ( 18:35:10 )
上次使用时间
2016-8-25 ( 18:35:10 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
encrypted.exe 威胁名称: SONAR.SelfHijack!gen1
定位
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
encrypted.exe
____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\ encrypted.exe 威胁已删除
文件: c:\Sandbox\administrator\defaultbox\user\current\application data\ Registry.dll 威胁已删除
文件: c:\Sandbox\administrator\defaultbox\user\current\application data\ trumpetclump.uyu 威胁已删除
文件: c:\Sandbox\administrator\defaultbox\user\current\application data\ exit.png 威胁已删除
文件: c:\Sandbox\administrator\defaultbox\user\current\application data\ error_1.png 威胁已删除
文件: c:\Sandbox\administrator\defaultbox\user\current\application data\ glossary.sort.xml 威胁已删除
文件: c:\Sandbox\administrator\defaultbox\user\current\application data\ Cenobite.J 威胁已删除
事件: 正在运行进程: c:\documents and settings\administrator\桌面\ encrypted.exe 已终止
目录: c:\Sandbox\administrator\defaultbox\user\current\local settings\Temp\ nsw108.tmp 需要重新启动
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\documents and settings\administrator\桌面\encrypted.exe, PID:2156) 未采取操作
(执行者 c:\documents and settings\administrator\桌面\encrypted.exe, PID:2156) 未采取操作
事件: PE 文件创建: c:\Sandbox\administrator\defaultbox\user\current\local settings\Temp\nsw108.tmp\ System.dll (执行者 c:\documents and settings\administrator\桌面\encrypted.exe, PID:2156) 未采取操作
事件: PE 文件创建: c:\Sandbox\administrator\defaultbox\user\current\application data\ Registry.dll (执行者 c:\documents and settings\administrator\桌面\encrypted.exe, PID:2156) 未采取操作
事件: 进程启动: c:\documents and settings\administrator\桌面\ encrypted.exe, PID:4540 (执行者 c:\documents and settings\administrator\桌面\encrypted.exe, PID:2156) 未采取操作
事件: 进程启动: c:\documents and settings\administrator\桌面\ encrypted.exe, PID:2156 (执行者 c:\documents and settings\administrator\桌面\encrypted.exe, PID:2156) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
第三枚
文件名: file1.exe
威胁名称: SONAR.SelfHijack!gen1完整路径: 不可用
____________________________
____________________________
在电脑上
2016-8-25 ( 18:35:17 )
上次使用时间
2016-8-25 ( 18:35:17 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
file1.exe 威胁名称: SONAR.SelfHijack!gen1
定位
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
file1.exe
____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\ file1.exe 威胁已删除
文件: c:\sandbox\administrator\defaultbox\user\current\application data\ registry.dll 威胁已删除
文件: c:\sandbox\administrator\defaultbox\user\current\application data\ trumpetclump.uyu 威胁已删除
文件: c:\sandbox\administrator\defaultbox\user\current\application data\ exit.png 威胁已删除
文件: c:\sandbox\administrator\defaultbox\user\current\application data\ error_1.png 威胁已删除
文件: c:\sandbox\administrator\defaultbox\user\current\application data\ glossary.sort.xml 威胁已删除
文件: c:\sandbox\administrator\defaultbox\user\current\application data\ cenobite.j 威胁已删除
事件: 正在运行进程: c:\documents and settings\administrator\桌面\ file1.exe 已终止
目录: c:\Sandbox\administrator\defaultbox\user\current\local settings\Temp\ nsc11D.tmp 需要重新启动
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\documents and settings\administrator\桌面\file1.exe, PID:4772) 未采取操作
(执行者 c:\documents and settings\administrator\桌面\file1.exe, PID:4772) 未采取操作
事件: PE 文件创建: c:\Sandbox\administrator\defaultbox\user\current\local settings\Temp\nsc11D.tmp\ System.dll (执行者 c:\documents and settings\administrator\桌面\file1.exe, PID:4772) 未采取操作
事件: PE 文件创建: c:\sandbox\administrator\defaultbox\user\current\application data\ registry.dll (执行者 c:\documents and settings\administrator\桌面\file1.exe, PID:4772) 未采取操作
事件: 进程启动: c:\documents and settings\administrator\桌面\ file1.exe, PID:5972 (执行者 c:\documents and settings\administrator\桌面\file1.exe, PID:4772) 未采取操作
事件: 进程启动: c:\documents and settings\administrator\桌面\ file1.exe, PID:4772 (执行者 c:\documents and settings\administrator\桌面\file1.exe, PID:4772) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
|
发表于 2016-8-25 18:26:48
你猜,,,,,,
目测没有,,,
哦,你是说上报啊,,,那肯定不留名的。。。估计好多重复上报的用户,不差一个!!!