转管家论坛的远控木马

vm001

驭龙

木马样本杀


另外两个也全杀


SEP 14开高启发，果然对付远控不错

o0net315

重复了，删掉。。。

a445441

微点MISS

电脑发烧友

其中两个主防杀掉


另外两个应该是针对特定人群的样本，主防无反应，扫描启发杀，看来火绒加入了这个家族样本的特征

dongwenqi

尊敬的用户您好，

感谢您的帮助，在您提交的附件中已经发现新的恶意软件，请稍后更新最新数据库试一下。
SynTPHelpers.exe - Trojan.Win32.Agentb.btgf
IO.dat - Trojan.Win32.Agentb.btge
bmp.lnk - Trojan.Win32.Agentb.btgf
baidu.com - Trojan.Win32.Agentb.btgf
IO.dat - Trojan.Win32.Agentb.btge
Autoupdate.exe - Trojan.Win32.Agentb.btge
Autoupdate.exe - Trojan.Win32.Agentb.btge

rugu

A杀确实厉害

心痛的伤不起

avg

"";"IDP.ALEXA.51, C:\Users\555555\Desktop\地图坐标\~\baidu.com";"已删除, 已隔离";"文件或目录";"2016/10/29, 17:25:34"
"";", C:\Windows\SysWOW64\rundll32.exe";"已阻止该对象";"进程";"2016/10/29, 17:25:34"
"";", C:\Windows\SysWOW64\cmd.exe";"已阻止该对象";"进程";"2016/10/29, 17:25:34"
"";", C:\Sandbox\555555\DefaultBox\user\all\Microsoft dementia\SynTPHelpers.exe";"已阻止该对象";"进程";"2016/10/29, 17:25:34"
"";", C:\Sandbox\555555\DefaultBox\user\all\Microsoft dementia\SynTPHelpers.exe";"已删除, 已隔离";"文件或目录";"2016/10/29, 17:25:34"
"";", C:\Users\555555\Desktop\地图坐标\~\baidu.com";"已阻止该对象";"进程";"2016/10/29, 17:25:34"
"";", HKEY_USERS\SANDBOX_555555_DEFAULTBOX\USER\CURRENT\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS";"已删除";"注册表项";"2016/10/29, 17:25:34"
"";", HKEY_USERS\SANDBOX_555555_DEFAULTBOX\USER\CURRENT\SOFTWARE\AVG";"已删除";"注册表项";"2016/10/29, 17:25:34"

"";"常规行为检测, C:\Users\555555\Desktop\木马样本\Autoupdate.exe";"已删除, 已隔离";"文件或目录";"2016/10/29, 17:27:38"
"";", C:\Sandbox\555555\DefaultBox\drive\C\Program Files (x86)\Tencent\Game\Lol\LolClient.exe";"已阻止该对象";"进程";"2016/10/29, 17:27:38"
"";", C:\Users\555555\Desktop\木马样本\Autoupdate.exe";"已阻止该对象";"进程";"2016/10/29, 17:27:38"

"";"常规行为检测, C:\Users\555555\Desktop\木马样本\Autoupdate.exe";"已删除, 已隔离";"文件或目录";"2016/10/29, 17:27:38"
"";", C:\Sandbox\555555\DefaultBox\drive\C\Program Files (x86)\Tencent\Game\Lol\LolClient.exe";"已阻止该对象";"进程";"2016/10/29, 17:27:38"
"";", C:\Users\555555\Desktop\木马样本\Autoupdate.exe";"已阻止该对象";"进程";"2016/10/29, 17:27:38"

迷一样的常规行为检测

windows7爱好者

y3312068 发表于 2016-10-29 17:33
avg

"";"IDP.ALEXA.51, C:%users\555555\Desktop\地图坐标\~\baidu.com";"已删除, 已隔离";"文件或目录" ...

远控触发主防就不算好远控

胖福

SONAR杀了一个：

文件名: autoupdate.exe
威胁名称: SONAR.Heuristic.154完整路径: 不可用

____________________________

____________________________


在电脑上 
2016-10-31 ( 07:36:05 )

上次使用时间 
2016-10-31 ( 07:36:05 )

启动项 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


autoupdate.exe 威胁名称: SONAR.Heuristic.154
定位


极少用户信任的文件
Norton 社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
autoupdate.exe

____________________________

文件操作

文件: f:\norton样本\sonar漏检\临时收集\木马\ autoupdate.exe 威胁已删除
目录: c:\program files\Tencent\ Game 需要重新启动
目录: c:\program files\Tencent\Game\ Lol 需要重新启动
____________________________

网络操作

事件: 网络活动 (执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
(执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
事件: PE 文件创建: c:\program files\Tencent\Game\Lol\ lolclient.exe (执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
事件: 进程启动: c:\program files\Tencent\Game\Lol\ lolclient.exe, PID:5168 (执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\木马\ autoupdate.exe, PID:2596 (执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
____________________________

可疑操作

事件: 击键捕获 (执行者 f:\norton样本\sonar漏检\临时收集\木马\autoupdate.exe, PID:2596) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用