File name: radCC9F8.tmp.exe Detection ratio: 6 / 56 实机抓马走一波

显示全部楼层 · 发表于 2016-11-13 21:34:11

本帖最后由 rrorr 于 2016-11-13 21:38 编辑

SONAR.SelfHijack!gen1

AVG IDP.ALEXA.51
[mw_shl_code=css,true]"";"IDP.ALEXA.51, C:\Users\Administrator.PC-20151228ESVT\Desktop\radCC9F8.tmp.exe";"已删除, 已隔离";"文件或目录";"2016/11/13, 21:36:22"
"";", C:\Users\Administrator.PC-20151228ESVT\Desktop\radCC9F8.tmp.exe";"已阻止该对象";"进程";"2016/11/13, 21:36:22"
"";", C:\Users\Administrator.PC-20151228ESVT\AppData\Local\Temp\epidote.dll";"已删除, 已隔离";"文件或目录";"2016/11/13, 21:36:22"
"";", C:\Users\Administrator.PC-20151228ESVT\AppData\Local\Temp\nsc37C3.tmp\System.dll";"已删除, 已隔离";"文件或目录";"2016/11/13, 21:36:22"
"";", C:\Users\Administrator.PC-20151228ESVT\Desktop\radCC9F8.tmp.exe";"已阻止该对象";"进程";"2016/11/13, 21:36:22"
[/mw_shl_code]

显示全部楼层 · 发表于 2016-11-13 22:39:54

BD
ATC杀

显示全部楼层 · 发表于 2016-11-13 22:43:19

ESET miss

自动上报

显示全部楼层 · 发表于 2016-11-13 22:55:04

本帖最后由 Monismith 于 2016-11-13 22:56 编辑

补充10楼，GDATA行为防御的日志

[mw_shl_code=css,true]AVA 25.9007
GD 25.8152

*** Process ***

Process: 9036
File name: radCC9F8.tmp.exe
Path: c:\users\admin\desktop\radcc9f8.tmp.exe

Publisher: Unknown publisher
Creation date: 11/13/16 14:52:07
Modification date: 11/13/16 11:08:44

Started by: Explorer.EXE
Publisher: Microsoft Windows

*** Actions ***

The program file is misleadingly named to deceive the user (e.g. 'Image.jpg.exe')
A packer was run on the program file, possibly to conceal malicious content.
The program has created or manipulated an executable file.
The cloud server recognized this file and identified it as malicious.

*** Quarantine ***

The following files were moved into quarantine:
C:\Users\admin\AppData\Local\Temp\Saxony.qFM
C:\Users\admin\AppData\Local\Temp\epidote.dll
C:\Users\admin\AppData\Local\Temp\nsq4E8D.tmp\System.dll
C:\Users\admin\Desktop\radCC9F8.tmp.exe

The following registry entries were deleted:

YHLS0HKScpJiYnAoJycnJyYGp0InJ3RyYmJwKycnJycmBsdycnJyYmKQKycH/HKCcoJiYtAmJyknKSYGj3LCcsJiYvAuJycnJyYGhysnKScpJganKxibNWYrJxibNWYrJyYG1yknKScpJgbnKCcN5yknKScpJgb3KCcIAA
Rules version: 5.0.121
OS: Windows 10.0 Service Pack 0.0 Build: 14393 - Workstation 64bit OS
dll version: 65948

"C:\Users\admin\Desktop\radCC9F8.tmp.exe"
MD5: 0E8679D741F9CE42DFBBB32133D57450
C:\Windows\Explorer.EXE
MD5: [/mw_shl_code]

显示全部楼层 · 发表于 2016-11-13 23:39:31

卡巴扫描miss，双击主防杀
话说主防的拦截点真的好靠后

，我都以为他不杀了呢

[mw_shl_code=css,true]13.11.2016 10.37.17 对象 ( 文件 ) 未被处理 C:\Users\linzh\Desktop\KRT_5.1.0.29\KRT_5.1.0.29.exe 应用程序: Windows Explorer 文件: C:\Users\linzh\Desktop\KRT_5.1.0.29\KRT_5.1.0.29.exe 时间: 2016/11/13 10:37 对象名称: HackTool.Win32.Kiser.fnawf 原因: 由用户允许
13.11.2016 10.37.17 检测到的对象 ( 文件 ) C:\Users\linzh\Desktop\KRT_5.1.0.29\KRT_5.1.0.29.exe 应用程序: Windows Explorer 文件: C:\Users\linzh\Desktop\KRT_5.1.0.29\KRT_5.1.0.29.exe 时间: 2016/11/13 10:37 对象名称: HackTool.Win32.Kiser.fnawf
13.11.2016 10.37.06 恶意程序已删除 PDM:Trojan.Win32.Generic 应用程序名称: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 应用程序路径: c:\users\linzh\desktop\radcc9f8.tmp\radcc9f8.tmp.exe 时间: 2016/11/13 10:37
13.11.2016 10.37.06 恶意程序已删除 PDM:Trojan.Win32.Generic 应用程序名称: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 应用程序路径: c:\users\linzh\desktop\radcc9f8.tmp\radcc9f8.tmp.exe 时间: 2016/11/13 10:37
13.11.2016 10.36.40 恶意程序已终止 PDM:Trojan.Win32.Generic 应用程序名称: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 应用程序路径: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 时间: 2016/11/13 10:36
13.11.2016 10.36.40 检测到恶意程序 PDM:Trojan.Win32.Generic 应用程序名称: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 应用程序路径: c:\users\linzh\desktop\radcc9f8.tmp\radcc9f8.tmp.exe 时间: 2016/11/13 10:36
13.11.2016 10.36.40 检测到恶意程序 PDM:Trojan.Win32.Generic 应用程序名称: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 应用程序路径: c:\users\linzh\desktop\radcc9f8.tmp\radcc9f8.tmp.exe 时间: 2016/11/13 10:36
13.11.2016 10.35.26 应用程序已添加至组受信任组 WMI Commandline Utility 应用程序: WMI Commandline Utility 原因: 数字签名分析应用程序路径: C:\Windows\System32\wbem\WMIC.exe 时间: 2016/11/13 10:35
13.11.2016 10.33.46 应用程序已添加至组低限制组 C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 应用程序: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 原因: 根据计算评级应用程序路径: C:\Users\linzh\Desktop\radCC9F8.tmp\radCC9F8.tmp.exe 时间: 2016/11/13 10:33[/mw_shl_code]

显示全部楼层 · 发表于 2016-11-14 08:59:02

您好，

此邮件由邮件响应系统自动生成，其中含有反病毒软件采用最新更新对相关文件（如邮件中包含此类文件）的详细分析结果。

radCC9F8.tmp.exe - Trojan.Win32.Inject.wmxt

以上文件包含恶意代码，下次更新后即可查杀。感谢您的上报。

卡巴斯基中国病毒实验室

"俄罗斯，莫斯科，125212 39A/3 Leningradskoe shosse 电话/传真: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

显示全部楼层 · 发表于 2016-11-14 09:25:11

linzh 发表于 2016-11-13 23:39
卡巴扫描miss，双击主防杀
话说主防的拦截点真的好靠后，我都以为他不杀了呢

卡巴报了啊
UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2016-11-14 09:32:03

轩夏发表于 2016-11-14 09:25
卡巴报了啊
UDS:DangerousObject.Multi.Generic

看你楼上

显示全部楼层 · 发表于 2016-11-14 19:57:47

火绒全部干掉

显示全部楼层 · 发表于 2016-11-15 12:24:06

rrorr 发表于 2016-11-13 21:34
SONAR.SelfHijack!gen1

AVG IDP.ALEXA.51

感觉这个IDP.ALEXA.51有点乱杀嫌疑
https://support.avg.com/answers?id=906b0000000LTe4AAG
http://sensorstechforum.com/what ... ould-you-remove-it/

[可疑文件] File name: radCC9F8.tmp.exe Detection ratio: 6 / 56 实机抓马走一波

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块