c52.exe

Norton:
Trojan.Gen.2

a445441

微点拦截

fever腾腾

费尔miss
实机 未双击

安全守护者

[mw_shl_code=xml,true]VirSCAN.org Scanned Report :Scanned time   : 2017-07-05 12:47:16
Scanner results: 7%的杀软(3/39)报告发现病毒
File Name      : c52.zip
File Size      : 284863 byte
File Type      : application/zip
MD5            : a3a77a3c426d8eb5902dbc2721552143
SHA1           : 4884594614af7f3c95e19bb00c33371b174b927f
Online report  : http://r.virscan.org/report/03bbcb94cfc9eee0311536e6e9dd6146

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
ANTIVIR        1.9.2.0        1.9.159.0         7.14.15.234    18   没有发现病毒            
AVAST!         170303-1       4.7.4             2017-03-03     46   没有发现病毒            
AVG            2109/14149     10.0.1405         2017-07-04     1    没有发现病毒            
ArcaVir        1.0            2011              2014-05-30     8    没有发现病毒            
Authentium     4.6.5          5.3.14            2017-07-04     1    没有发现病毒            
Baidu Antivirus2.0.1.0        4.1.3.52192       2.0.1.0        7    没有发现病毒            
Bitdefender    7.58879        7.90123           2015-01-16     1    没有发现病毒            
ClamAV         23530          0.97.5            2017-07-03     1    没有发现病毒            
Comodo         15023          5.1               2017-07-04     3    没有发现病毒            
Dr.Web         5.0.2.3300     5.0.1.1           2017-06-18     40   没有发现病毒            
F-PROT         4.6.2.117      6.5.1.5418        2016-02-05     1    没有发现病毒            
F-Secure       2015-08-01-02  9.13              2015-08-01     1    没有发现病毒            
Fortinet       49.962, 49.961,5.4.247           2017-07-05     1    没有发现病毒            
GData          25.13217       25.13217          2017-07-05     11   Trojan.GenericKD.5539066      
IKARUS         1.06.01        V1.32.31.0        2016-11-28     1    没有发现病毒            
NOD32          1777           3.0.21            2015-06-12     1    没有发现病毒            
QQ手机       1.0.0.0        1.0.0.0           2015-12-30     1    没有发现病毒            
Quickheal      14.00          14.00             2017-07-04     3    没有发现病毒            
SOPHOS         5.32           3.65.2            2016-10-10     8    没有发现病毒            
Sunbelt        3.9.2671.2     3.9.2671.2        2017-07-03     2    没有发现病毒            
TheHacker      6.8.0.5        6.8.0.5           2017-07-02     1    没有发现病毒            
Vba32          3.12.29.5 beta 3.12.29.5 beta    2017-06-30     3    没有发现病毒            
ViRobot        2.73           2.73              2015-01-30     1    没有发现病毒            
VirusBuster    15.0.985.0     5.5.2.13          2014-12-05     15   没有发现病毒            
a-squared      9.0.0.4799     9.0.0.4799        2015-03-08     1    没有发现病毒            
nProtect       9.9.9          9.9.9             2013-12-27     3    没有发现病毒            
卡巴斯基   5.5.33         5.5.33            2014-04-01     19   没有发现病毒            
奇虎360      1.0.1          1.0.1             1.0.1          3    Trojan.Generic               
安博士V3    9.9.9          9.9.9             2013-05-28     4    没有发现病毒            
安天         AVL SDK 2.0                      1970-01-01     3    没有发现病毒            
江民杀毒   16.0.100       1.0.0.0           2017-07-02     2    没有发现病毒            
熊猫卫士   9.05.01        9.05.01           2017-07-03     5    没有发现病毒            
瑞星         26.28.00.01    26.28.00.01       2016-07-18     4    没有发现病毒            
百度杀毒   1.0            1.0               2017-03-22     1    没有发现病毒            
费尔         17.47.17308    1.0.2.2108        2017-07-04     6    没有发现病毒            
赛门铁克   20151230.005   1.3.0.24          2015-12-30     1    没有发现病毒            
趋势科技   13.302.06      9.500-1005        2017-03-27     1    没有发现病毒            
迈克菲      8261           5400.1158         2016-08-18     8    没有发现病毒            
金山毒霸   2.1            2.1               2017-07-04     3    Win32.Hack.Androm.no.(kcloud)
[/mw_shl_code]

[mw_shl_code=sql,true]文件检测评级：
高度风险


基本信息
文件名称：       
c52.zip
MD5：        a3a77a3c426d8eb5902dbc2721552143
文件类型：        zip
上传时间：        2017-07-05 12:47:06
出品公司：        N/A
版本：        N/A
壳或编译器信息：        COMPILER:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation *
子文件信息：       
c52.exedumpFile /  dbfb2fb1b56572d820f6d914760c645f /  EXE
c52.exe /  dbfb2fb1b56572d820f6d914760c645f /  EXE
关键行为
行为描述：        设置特殊文件夹属性
详情信息：       
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5
行为描述：        直接获取CPU时钟
详情信息：       
EAX = 0x4c918246, EDX = 0x00000039
EAX = 0x547f502f, EDX = 0x00000039
行为描述：        获取TickCount值
详情信息：       
TickCount = 79234, SleepMilliseconds = 1000.
TickCount = 79250, SleepMilliseconds = 1000.
TickCount = 79375, SleepMilliseconds = 1000.
TickCount = 79406, SleepMilliseconds = 1000.
TickCount = 79421, SleepMilliseconds = 1000.
TickCount = 138421, SleepMilliseconds = 60000.
TickCount = 138437, SleepMilliseconds = 60000.
TickCount = 138453, SleepMilliseconds = 60000.
TickCount = 138468, SleepMilliseconds = 60000.
TickCount = 138500, SleepMilliseconds = 60000.
TickCount = 138515, SleepMilliseconds = 60000.
TickCount = 138546, SleepMilliseconds = 60000.
TickCount = 138578, SleepMilliseconds = 60000.
TickCount = 138640, SleepMilliseconds = 60000.
TickCount = 138734, SleepMilliseconds = 60000.
文件行为
行为描述：        创建文件
详情信息：       
C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\out
行为描述：        覆盖已有文件
详情信息：       
C:\Users\Administrator\AppData\Local\%temp%\b70c.exe_7zdump\out
行为描述：        设置特殊文件夹属性
详情信息：       
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
C:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5
行为描述：        查找文件
详情信息：       
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-*\a18ca4003deb042bbee7a40f15e1970b_*
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\*
FileName = C:\Windows
FileName = C:\Windows\System32
FileName = C:\Windows\System32\netshell.dll
FileName = C:\Windows\System32\*.*
FileName = printfile*.txt
FileName = C:\Windows\system32\?.*
FileName = C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk
FileName = C:\Users\Administrator\AppData\Roaming\Microsoft\Network\Connections\Pbk\*.pbk
FileName = C:\Windows\system32\Ras\*.pbk
网络行为
行为描述：        打开HTTP连接
详情信息：       
InternetOpenA: UserAgent: ?, hSession = 0x00cc0004
InternetOpenA: UserAgent: ?, hSession = 0x00cc0008
InternetOpenA: UserAgent: ?, hSession = 0x00cc000c
InternetOpenA: UserAgent: ?, hSession = 0x00cc0010
InternetOpenA: UserAgent: ?, hSession = 0x00cc0014
InternetOpenA: UserAgent: ?, hSession = 0x00cc0018
InternetOpenA: UserAgent: ?, hSession = 0x00cc001c
InternetOpenA: UserAgent: ?, hSession = 0x00cc0020
InternetOpenA: UserAgent: ?, hSession = 0x00cc0024
InternetOpenA: UserAgent: ?, hSession = 0x00cc0028
InternetOpenA: UserAgent: ?, hSession = 0x00cc002c
InternetOpenA: UserAgent: ?, hSession = 0x00cc0030
InternetOpenA: UserAgent: ?, hSession = 0x00cc0034
InternetOpenA: UserAgent: ?, hSession = 0x00cc0038
InternetOpenA: UserAgent: ?, hSession = 0x00cc003c
注册表行为
行为描述：        修改注册表
详情信息：       
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{7007ACC7-3202-11D1-AAD2-00805FC1270E} {000214E6-0000-0000-C000-000000000046} 0xFFFF
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\EnableFileTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\EnableConsoleTracing
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\FileTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\ConsoleTracingMask
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\MaxFileSize
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\c52_RASAPI32\FileDirectory
行为描述：        删除注册表键值
详情信息：       
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
其他行为
行为描述：        检测自身是否被调试
详情信息：       
IsDebuggerPresent
行为描述：        创建互斥体
详情信息：       
RasPbFile
Local\!PrivacIE!SharedMemory!Mutex
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
行为描述：        打开互斥体
详情信息：       
RasPbFile
Local\_!MSFTHISTORY!_
Local\c:!users!administrator!appdata!local!microsoft!windows!temporary internet files!content.ie5!
Local\c:!users!administrator!appdata!roaming!microsoft!windows!cookies!
Local\c:!users!administrator!appdata!local!microsoft!windows!history!history.ie5!
Local\WininetStartupMutex
Local\WininetConnectionMutex
Local\WininetProxyRegistryMutex
行为描述：        查找指定窗口
详情信息：       
NtUserFindWindowEx: [Class,Window] = [NDDEAgnt,NetDDE Agent]
行为描述：        启动系统服务
详情信息：       
[服务启动成功]: NT AUTHORITY\NetworkService, Telephony, C:\Windows\System32\svchost.exe -k NetworkService
行为描述：        打开事件
详情信息：       
HookSwitchHookEnabledEvent
Global\SvcctrlStartEvent_A3752DX
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
\KernelObjects\MaximumCommitCondition
MSFT.VSA.COM.DISABLE.2644
MSFT.VSA.IEC.STATUS.6c736db0
\INSTALLATION_SECURITY_HOLD
行为描述：        获取TickCount值
详情信息：       
TickCount = 79234, SleepMilliseconds = 1000.
TickCount = 79250, SleepMilliseconds = 1000.
TickCount = 79375, SleepMilliseconds = 1000.
TickCount = 79406, SleepMilliseconds = 1000.
TickCount = 79421, SleepMilliseconds = 1000.
TickCount = 138421, SleepMilliseconds = 60000.
TickCount = 138437, SleepMilliseconds = 60000.
TickCount = 138453, SleepMilliseconds = 60000.
TickCount = 138468, SleepMilliseconds = 60000.
TickCount = 138500, SleepMilliseconds = 60000.
TickCount = 138515, SleepMilliseconds = 60000.
TickCount = 138546, SleepMilliseconds = 60000.
TickCount = 138578, SleepMilliseconds = 60000.
TickCount = 138640, SleepMilliseconds = 60000.
TickCount = 138734, SleepMilliseconds = 60000.
行为描述：        获取光标位置
详情信息：       
CursorPos = (555,18472), SleepMilliseconds = 1000.
行为描述：        枚举窗口
详情信息：       
N/A
行为描述：        调用Sleep函数
详情信息：       
[1]: MilliSeconds = 1000.
[2]: MilliSeconds = 60000.
[3]: MilliSeconds = 60000.
[4]: MilliSeconds = 60000.
[5]: MilliSeconds = 60000.
[6]: MilliSeconds = 60000.
[7]: MilliSeconds = 60000.
[8]: MilliSeconds = 60000.
[9]: MilliSeconds = 60000.
[10]: MilliSeconds = 60000.
行为描述：        直接获取CPU时钟
详情信息：       
EAX = 0x4c918246, EDX = 0x00000039
EAX = 0x547f502f, EDX = 0x00000039
Copyright©1998 - 2017 Tencent.All Rights Reserved
腾讯公司 版权所有[/mw_shl_code]

fever腾腾

更新后费尔kill

DF快递

sep kill

，就一个.

AVA 25.13308
GD 25.9967

*** Prozess ***

Prozess: 4384
Dateiname: c52.exe
Pfad: d:\360极速浏览器下载\c52\c52.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 2017年7月10日 13:38:08
Änderungsdatum: 2017年7月3日 16:57:02

Gestartet von: Explorer.EXE
Herausgeber: Microsoft Windows


*** Aktionen ***

Der Virenscanner hat festgestellt, dass die Datei schädlich ist.
Es wurde auf einen fremden Prozess zugegriffen.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
D:\360极速浏览器下载\c52\c52.exe

Folgende Registry Einträge wurden gelöscht:


YHKSDS4nJycnJgYvJyonKiYGp0InKnSiYmJwKycqJyomBrlycg/pcoJiYnKCoCwnKCYmJwiscnJycmJi0CgnKCYmJwh3LycnJycmBqcrGH01ZiooGuw1ZisnGH01ZioHpy0nKSYmJwm3LycnJycmBscvJygmJicI5ygn2HDecoJiYnKCcI9y4oCWcoKA+3JycnJiYoCucpKAvnKSYmJykgAA
Version der Regeln: 5.0.147
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
Version der dll: 68091

"D:\360极速浏览器下载\c52\c52.exe"
MD5: DBFB2FB1B56572D820F6D914760C645F
C:\windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

ytysh

fireherman 发表于 2017-7-3 16:59
ESET scan miss

Live Gird [高危/自动上报]

怎么知道Live Gird自动上传了？

ytysh

Immunet Kill

F-Secure Kill

fireherman

ytysh 发表于 2017-7-11 07:25
怎么知道Live Gird自动上传了？

不是Live Grid上传，而是未收录的都有可能自动上传。

右下角会弹一个窗口：文件XXXXX已经上传到ESET中心提供分析，运运……