楼主: kxmp
收起左侧

[可疑文件] 神秘文件

[复制链接]
学雷锋做人
发表于 2017-9-15 20:03:51 | 显示全部楼层
kxmp 发表于 2017-9-15 20:01
就是32a下载的...

你有QQ没,QQ谈吧,回太多会被认为灌水的,我QQ:772281160
kxmp
 楼主| 发表于 2017-9-15 20:10:57 | 显示全部楼层
学雷锋做人 发表于 2017-9-15 20:03
你有QQ没,QQ谈吧,回太多会被认为灌水的,我QQ:772281160

没事啊 我现在就发截图



md5.txt xttp://64.myxmr.pw:8888/md5.txt
cudart32_65.dll a185df6bc6fed00bc9013784da9fd42d
pthreadVC2.dll 7812f0f73eda837e9353b3a433abc9a9
64.rar e1d9ea7548e2637bedb5a03664b1f73d
cc.rar 5957c36b3b5e9fd57322eb9e2aa28783






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
学雷锋做人
发表于 2017-9-15 21:02:06 | 显示全部楼层
kxmp 发表于 2017-9-15 20:10
没事啊 我现在就发截图

监控GET不难的,File_Analysis可以做到,只能说很奇怪,如果作者特意为了这个检测虚拟机总感觉没必要
左手
发表于 2017-9-16 00:17:10 | 显示全部楼层
[mw_shl_code=css,true]2017/9/16 星期六 00:09:48    底层磁盘写操作 危险等级:高    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: \Device\RaidPort0
规则: [应用程序]*.exe

2017/9/16 星期六 00:09:48    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916000940.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:09:48    底层磁盘写操作 危险等级:高    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: \Device\RaidPort0
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\32a.exe

2017/9/16 星期六 00:09:48    底层磁盘写操作 危险等级:高    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\32a.exe

2017/9/16 星期六 00:09:48    创建注册表项 危险等级:未知    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\Software\Classes\*

2017/9/16 星期六 00:10:01    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4065459280-3823960145-3941533874-500\80ad3f5a9950b00bd5710c5bb916487c_921dbbff-eab9-4822-8b28-14dc84eff9f5
规则: [应用程序]?:\*\*\*\* -> [文件组]《允许》f834_程序配置 -> [文件]?:\users\*\appdata\roaming\*

2017/9/16 星期六 00:10:01    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916000954.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:10:01    创建注册表项 危险等级:未知    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\st1737991685a.bts
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\Software\Classes\*

2017/9/16 星期六 00:10:07    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4065459280-3823960145-3941533874-500\ad9297da83e19bbfa682e5cf4ab0c22b_921dbbff-eab9-4822-8b28-14dc84eff9f5
规则: [应用程序]?:\*\*\*\* -> [文件组]《允许》f834_程序配置 -> [文件]?:\users\*\appdata\roaming\*

2017/9/16 星期六 00:10:08    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017/9/16 星期六 00:10:11    加载动态链接库 危险等级:中    允许
进程: c:\users\administrator\desktop\32a.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2017/9/16 星期六 00:10:11    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:11    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\8c-f2-28-ef-c2-8a\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:11    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{368B14D2-EE34-4834-A403-008DC886D9F3}\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:25    访问网络    允许
进程: c:\users\administrator\desktop\32a.exe
目标: TCP [本机 : 56585] ->  [170.178.171.162 : 8888]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017/9/16 星期六 00:10:25    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916001019.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:10:26    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:26    创建文件 危险等级:低    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\cudart32_65.dll
规则: [应用程序]?:\*\*\*\* -> [文件]c:\users\administrator\*

2017/9/16 星期六 00:10:27    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:31    创建文件 危险等级:低    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\cudart32_65.dll
规则: [应用程序]?:\*\*\*\* -> [文件]c:\users\administrator\*

2017/9/16 星期六 00:10:32    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:32    创建文件 危险等级:低    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\cudart32_65.dll
规则: [应用程序]?:\*\*\*\* -> [文件]c:\users\administrator\*

2017/9/16 星期六 00:10:37    修改注册表值 危险等级:敏感 (2)    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:10:37    创建文件 危险等级:低    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\pthreadVC2.dll
规则: [应用程序]?:\*\*\*\* -> [文件]c:\users\administrator\*

2017/9/16 星期六 00:12:10    底层磁盘写操作 危险等级:高    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: \Device\RaidPort0
规则: [应用程序]*.exe

2017/9/16 星期六 00:12:10    底层磁盘写操作 危险等级:高    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: \Device\RaidPort0
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\32a.exe

2017/9/16 星期六 00:12:10    底层磁盘写操作 危险等级:高    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\32a.exe

2017/9/16 星期六 00:12:10    创建注册表项 危险等级:未知    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\Software\Classes\*

2017/9/16 星期六 00:12:14    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4065459280-3823960145-3941533874-500\cf29f8a3a24c2305d98b6740fae10b1f_921dbbff-eab9-4822-8b28-14dc84eff9f5
规则: [应用程序]?:\*\*\*\* -> [文件组]《允许》f834_程序配置 -> [文件]?:\users\*\appdata\roaming\*

2017/9/16 星期六 00:12:14    创建注册表项 危险等级:未知    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\st1737991685a.bts
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\Software\Classes\*

2017/9/16 星期六 00:12:17    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4065459280-3823960145-3941533874-500\471dc88565be17c87e6c93fa7b141119_921dbbff-eab9-4822-8b28-14dc84eff9f5
规则: [应用程序]?:\*\*\*\* -> [文件组]《允许》f834_程序配置 -> [文件]?:\users\*\appdata\roaming\*

2017/9/16 星期六 00:12:17    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017/9/16 星期六 00:12:20    加载动态链接库 危险等级:中    允许
进程: c:\users\administrator\desktop\32a.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2017/9/16 星期六 00:12:20    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:12:22    访问网络    允许
进程: c:\users\administrator\desktop\32a.exe
目标: TCP [本机 : 56590] ->  [170.178.171.162 : 8888]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017/9/16 星期六 00:12:22    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\8c-f2-28-ef-c2-8a\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:12:22    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{368B14D2-EE34-4834-A403-008DC886D9F3}\WpadDecisionReason
值: 0x00000001(1)
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:12:23    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:12:34    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\cudart32_65.dll
规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f999_低优先_询问桌面/菜单 -> [文件]c:\users\*\desktop\*

2017/9/16 星期六 00:12:34    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916001231.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:12:37    修改注册表值 危险等级:敏感 (2)    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:12:48    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\pthreadVC2.dll
规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f999_低优先_询问桌面/菜单 -> [文件]c:\users\*\desktop\*

2017/9/16 星期六 00:12:48    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916001245.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:12:48    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:12:57    创建文件 危险等级:低    允许
进程: c:\users\administrator\desktop\32a.exe
目标: C:\Users\Administrator\Desktop\lsmos.exe
规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f999_低优先_询问桌面/菜单 -> [文件]c:\users\*\desktop\*

2017/9/16 星期六 00:12:57    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916001255.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:13:37    删除文件夹 危险等级:敏感    允许
进程: c:\program files\360\360chrome\360chrome.exe
目标: C:\Program Files\360\360chrome\User Data\Default\JumpListIconsOld
规则: [应用程序组]→a020_《浏览器及允许联网的程序及代{过}{滤}理软件》 -> [文件]?:\*

2017/9/16 星期六 00:13:37    修改文件夹 危险等级:敏感    允许
进程: c:\program files\360\360chrome\360chrome.exe
目标: C:\Program Files\360\360chrome\User Data\Default\JumpListIcons
规则: [应用程序组]→a020_《浏览器及允许联网的程序及代{过}{滤}理软件》 -> [文件]?:\*

2017/9/16 星期六 00:13:39    修改注册表值 危险等级:敏感    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

2017/9/16 星期六 00:13:51    加载动态链接库 危险等级:中    允许
进程: c:\users\administrator\desktop\lsmos.exe
目标: c:\windows\system32\dnsapi.dll
规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

2017/9/16 星期六 00:13:51    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916001349.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:13:59    访问网络    允许
进程: c:\users\administrator\desktop\lsmos.exe
目标: TCP [本机 : 56599] ->  [212.129.46.87 : 6666]
规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017/9/16 星期六 00:13:59    创建文件 危险等级:低    允许
进程: d:\program files\fscapture_8.5_chs_v3\fscapture.exe
目标: C:\Users\Administrator\Desktop\20170916001358.jpg
规则: [应用程序]?:\program files\*\*.exe -> [文件组]《询问》f060_桌面

2017/9/16 星期六 00:15:08    修改注册表值 危险等级:敏感 (4)    阻止
进程: c:\users\administrator\desktop\32a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\CachePrefix
值: Cookie:
规则: [注册表组]《保护》_重要注册表项 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\*

[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kxmp
 楼主| 发表于 2017-9-17 23:10:05 | 显示全部楼层
左手 发表于 2017-9-16 00:17
[mw_shl_code=css,true]2017/9/16 星期六 00:09:48    底层磁盘写操作 危险等级:高    阻止
进程: c:%user ...

奇怪了 他服务器怎么这么多...
2221000789
发表于 2017-9-17 23:18:32 | 显示全部楼层
    瑞星+ 火绒    Kill  3x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:42 , Processed in 0.095505 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表