Nemucod

显示全部楼层 · 发表于 2016-9-16 07:49:40

Nemucod

显示全部楼层 · 发表于 2016-9-16 08:24:41

本帖最后由蓝天二号于 2016-9-16 11:28 编辑

AVG IDP

显示全部楼层 · 发表于 2016-9-16 08:32:00

本帖最后由 vm001 于 2016-9-16 08:33 编辑

360全部拦截，就不一一截图

显示全部楼层 · 发表于 2016-9-16 08:50:18

火绒扫描miss

显示全部楼层 · 发表于 2016-9-16 12:35:11

ESET 解压 kill all:

[mw_shl_code=css,true]2016-9-16 12:33:38 文件系统实时防护文件 E:\VirZ\F533358B14DDD8458810737979A156FFB911AC71\Booking confirmation ~E1A4083A~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). F533358B14DDD8458810737979A156FFB911AC71 2016-9-16 7:37:26
2016-9-16 12:33:30 文件系统实时防护文件 E:\VirZ\F5A67C68509C202398D0B02B1AF53C0B85F6D127\Booking confirmation ~E2CD026~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). F5A67C68509C202398D0B02B1AF53C0B85F6D127 2016-9-16 7:36:19
2016-9-16 12:33:23 文件系统实时防护文件 E:\VirZ\ECDEEDEED1F3B8CE464C786EEAAD9BB52CCB392C\Booking confirmation ~321DF12~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). ECDEEDEED1F3B8CE464C786EEAAD9BB52CCB392C 2016-9-16 7:37:04
2016-9-16 12:33:15 文件系统实时防护文件 E:\VirZ\E47574BA32D83468823ECF4E4040D538E6C87864\Booking confirmation ~C22DE~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). E47574BA32D83468823ECF4E4040D538E6C87864 2016-9-16 7:36:32
2016-9-16 12:33:09 文件系统实时防护文件 E:\VirZ\CCB1679448C0BF9F7DE736BF8105251E2942C955\Booking confirmation ~0AE69365~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). CCB1679448C0BF9F7DE736BF8105251E2942C955 2016-9-16 7:36:26
2016-9-16 12:33:01 文件系统实时防护文件 E:\VirZ\192AEF34EAE6F7C35AC9C33188394EC0BECC09BC\Booking confirmation ~FB485~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). 192AEF34EAE6F7C35AC9C33188394EC0BECC09BC 2016-9-16 7:20:57
2016-9-16 12:32:54 文件系统实时防护文件 E:\VirZ\34CFD9897F406269B27B26DCB050C948F043A6CD\Booking confirmation ~5B456B1~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). 34CFD9897F406269B27B26DCB050C948F043A6CD 2016-9-16 7:37:16
2016-9-16 12:32:18 文件系统实时防护文件 E:\VirZ\5B13D129DA9CF33688248BAE0D5DF9CBF69948A1\Booking confirmation ~99F0FB~.js JS/TrojanDownloader.Nemucod.AYE 特洛伊木马通过删除清除 RAYMOND-9B1A7AC\Raymond 在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558). 5B13D129DA9CF33688248BAE0D5DF9CBF69948A1 2016-9-16 7:25:26[/mw_shl_code]

显示全部楼层 · 发表于 2016-9-16 13:04:39

SEP 14.0.1723双击全部脚本只有一个DLL下载成功，其他全部被IPS拦截。

唯一下载的DLL被启发干掉。

IPS几乎拦截了全部样本的通讯。

系统正常，没有被加密

显示全部楼层 · 发表于 2016-9-16 13:36:05

驭龙发表于 2016-9-16 13:04
SEP 14.0.1723双击全部脚本只有一个DLL下载成功，其他全部被IPS拦截。

唯一下载的DLL被启发干掉。

难道我的ips有问题

显示全部楼层 · 发表于 2016-9-16 13:37:20

AVIRA KILL ALL

[mw_shl_code=css,true]Start of the scan: Friday, 16 September, 2016  13:36

Starting the file scan:

Begin scan in 'C:\Users\User\Downloads\Downloads\34CFD9897F406269B27B26DCB050C948F043A6CD'
C:\Users\User\Downloads\Downloads\34CFD9897F406269B27B26DCB050C948F043A6CD\Booking confirmation ~5B456B1~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\192AEF34EAE6F7C35AC9C33188394EC0BECC09BC'
C:\Users\User\Downloads\Downloads\192AEF34EAE6F7C35AC9C33188394EC0BECC09BC\Booking confirmation ~FB485~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\CCB1679448C0BF9F7DE736BF8105251E2942C955'
C:\Users\User\Downloads\Downloads\CCB1679448C0BF9F7DE736BF8105251E2942C955\Booking confirmation ~0AE69365~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\E47574BA32D83468823ECF4E4040D538E6C87864'
C:\Users\User\Downloads\Downloads\E47574BA32D83468823ECF4E4040D538E6C87864\Booking confirmation ~C22DE~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\ECDEEDEED1F3B8CE464C786EEAAD9BB52CCB392C'
C:\Users\User\Downloads\Downloads\ECDEEDEED1F3B8CE464C786EEAAD9BB52CCB392C\Booking confirmation ~321DF12~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\F5A67C68509C202398D0B02B1AF53C0B85F6D127'
C:\Users\User\Downloads\Downloads\F5A67C68509C202398D0B02B1AF53C0B85F6D127\Booking confirmation ~E2CD026~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\F533358B14DDD8458810737979A156FFB911AC71'
C:\Users\User\Downloads\Downloads\F533358B14DDD8458810737979A156FFB911AC71\Booking confirmation ~E1A4083A~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus
Begin scan in 'C:\Users\User\Downloads\Downloads\5B13D129DA9CF33688248BAE0D5DF9CBF69948A1'
C:\Users\User\Downloads\Downloads\5B13D129DA9CF33688248BAE0D5DF9CBF69948A1\Booking confirmation ~99F0FB~.js
  [DETECTION] Contains recognition pattern of the JS/Dldr.Krypt.915164 Java script virus[/mw_shl_code]

显示全部楼层 · 发表于 2016-9-16 13:44:34

windows7爱好者发表于 2016-9-16 13:36
难道我的ips有问题

就算IPS有问题，启发suspicious.cloud.am报法也会把下载的勒索DLL干掉啊，你是不是安装的模式有问题？或者网络有问题？

显示全部楼层 · 发表于 2016-9-16 13:45:43

驭龙发表于 2016-9-16 13:44
就算IPS有问题，启发suspicious.cloud.am报法也会把下载的勒索DLL干掉啊，你是不是安装的模式有问题？或 ...

第一个DLL被启发杀
我双击第二个就中招了

[病毒样本] Nemucod

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块