1.exe

显示全部楼层 · 发表于 2016-10-16 22:18:16

文件名: 1.exe
威胁名称: SONAR.Cryptlk.AH!g2完整路径: 不可用

____________________________

____________________________

在电脑上
2016/10/16 ( 22:16:17 )

上次使用时间
2016/10/16 ( 22:16:17 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

1.exe 威胁名称: SONAR.Cryptlk.AH!g2
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
winrar.exe

创建的文件:
1.exe

____________________________

文件操作

文件: c:\users\m\desktop\新建文件夹\1\ 1.exe 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ gnav.js 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ clearance-items 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ highwire_issue_archive_nav.js 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ loading-dark.gif 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ gc_button1.gif 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ bin_ret.js 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ psoft-rss.xml 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ jdmp-complete 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ jquery.history.min.js 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ 2016-10-1547309870.html 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ handler.image.js 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ 1460583904218 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ 20161014446872103.html 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ logo-schema-org.png 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ favicon.ico307942125.x-icon 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ fsoouzttba6olcbhjjykx0ip2xijygmqqauzxg7qrux.arc 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\e0e58bcc\ 428f.tmp 威胁已删除
文件: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\e0e58bcc\ 2bb8.tmp 威胁已删除
目录: c:\Sandbox\M\defaultbox\user\current\AppData\Local\Temp\ nsq87F8.tmp 需要重新启动
目录: c:\sandbox\m\defaultbox\user\current\appdata\local\temp\ e0e58bcc 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:4136) 未采取操作
事件: PE 文件创建: c:\Sandbox\M\defaultbox\user\current\AppData\Local\Temp\nsq87F8.tmp\ System.dll (执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:4136) 未采取操作
事件: 进程启动: c:\users\m\desktop\新建文件夹\1\ 1.exe, PID:7480 (执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:4136) 未采取操作
事件: 进程启动 (执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:7480) 未采取操作
事件: 进程启动: c:\users\m\desktop\新建文件夹\1\ 1.exe, PID:4136 (执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:4136) 未采取操作
(执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:7480) 未采取操作
事件: 进程启动: c:\users\m\desktop\新建文件夹\1\ 1.exe, PID:7480 (执行者 c:\users\m\desktop\新建文件夹\1\1.exe, PID:7480) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-10-16 22:48:37

Avira
->TR/AD.NsisInject.9720ee (Cloud)

显示全部楼层 · 发表于 2016-10-16 22:56:22

火绒4.0拦截

显示全部楼层 · 发表于 2016-10-16 23:07:07

全盘扫描？
联网了.扫描了。我干掉了。
2016-10-16 23:06:09 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\1.exe
目标: c:\documents and settings\administrator\桌面\1.exe
命令行: "C:\Documents and Settings\Administrator\桌面\1.exe"
规则: [应用程序]??* -> [子应用程序]*\桌面\*

2016-10-16 23:06:18 访问网络阻止
进程: c:\documents and settings\administrator\桌面\1.exe
目标: UDP [本机 : 3021] -> [31.184.234.0 : 6892]
规则: [应用程序]*.exe -> [网络组]询问_所有允许或阻止

2016-10-16 23:06:21 读文件夹风险级别:低阻止并结束进程
进程: c:\documents and settings\administrator\桌面\1.exe
目标: C:\a
规则: [应用程序组]D+_Documents -> [应用程序]c:\documents and settings\*\* -> [文件组]终止_高优先 -> [文件]?:\; ?

显示全部楼层 · 发表于 2016-10-16 23:19:24

毒霸扫描miss

显示全部楼层 · 发表于 2016-10-16 23:59:53

过BD，双击过ATC

然而貌似没啥反应

显示全部楼层 · 发表于 2016-10-17 08:58:03

avast
Win32:Evo-gen[Susp]

显示全部楼层 · 发表于 2016-10-17 11:07:19

卡巴

1.exe detected UDS:DangerousObject.Multi.Generic

[可疑文件] 1.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块