本帖最后由 Tom179090 于 2018-7-25 21:18 编辑
NS:右键扫描。剩余:1,2,4,5,9,14,25 共7个,检出 19个。检出率:19/26≈ 73%。
双击后,剩余9。其余SONAR杀。总检测率(扫描+双击):25/26 ≈ 96%
双击,1,SONAR杀:
文件名: 0725(1).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用
____________________________
____________________________
在电脑上
2018/7/25 ( 21:02:58 )
上次使用时间
2018/7/25 ( 21:02:58 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
0725(1).exe 威胁名称: SONAR.Heuristic.170
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
360zip.exe
创建的文件:
0725(1).exe
____________________________
文件操作
文件: g:\样本\package 0725\ 0725(1).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-2297992440-3547089610-872832135-1001\ d98058e31af10baec2b138cfc18df843_fd8232b2-778f-45a9-8eaf-d8806de3c25e 威胁已删除
目录: c:\users\tom-w\appdata\roaming\ 0045f0 威胁已删除
____________________________
网络操作
事件: 网络活动 (执行者 g:\样本\package 0725\0725(1).exe, PID:5680) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(1).exe, PID:5680) 未采取操作
(执行者 g:\样本\package 0725\0725(1).exe, PID:5680) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(1).exe, PID:5680 (执行者 g:\样本\package 0725\0725(1).exe, PID:5680) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
双击2,防火墙警报,允许——检测到大量出站请求,是否启用Norton Power Eraser?——否,,等待几秒后SONAR杀:
文件名: 0725(2).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用
____________________________
____________________________
在电脑上
2018/7/25 ( 21:04:34 )
上次使用时间
2018/7/25 ( 21:04:34 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
0725(2).exe 威胁名称: SONAR.Heuristic.170
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
360zip.exe
创建的文件:
0725(2).exe
____________________________
文件操作
文件: g:\样本\package 0725\ 0725(2).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\crypto\rsa\s-1-5-21-2297992440-3547089610-872832135-1001\ d98058e31af10baec2b138cfc18df843_fd8232b2-778f-45a9-8eaf-d8806de3c25e 威胁已删除
目录: c:\users\tom-w\appdata\roaming\ 0045f0 威胁已删除
____________________________
网络操作
事件: 网络活动 (执行者 g:\样本\package 0725\0725(2).exe, PID:15708) 未采取操作
事件: 网络通信上检测到 Symantec IDS 特征 (执行者 g:\样本\package 0725\0725(2).exe, PID:15708) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(2).exe, PID:9524) 未采取操作
(执行者 g:\样本\package 0725\0725(2).exe, PID:9524) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(2).exe, PID:15708 (执行者 g:\样本\package 0725\0725(2).exe, PID:9524) 未采取操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(2).exe, PID:15708) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(2).exe, PID:9524 (执行者 g:\样本\package 0725\0725(2).exe, PID:9524) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(2).exe, PID:15708 (执行者 g:\样本\package 0725\0725(2).exe, PID:15708) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
4,双击后杀衍生物:
文件名: 1.vbs
威胁名称: ISB.Downloader!gen80完整路径: c:\users\tom-w\appdata\local\temp\1.vbs
____________________________
____________________________
在电脑上
2018/7/25 ( 21:07:10 )
上次使用时间
2018/7/25 ( 21:07:10 )
启动项
否
已启动
否
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________
1.vbs 威胁名称: ISB.Downloader!gen80
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
____________________________
文件操作
文件: c:\users\tom-w\appdata\local\temp\ 1.vbs 已阻止
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
之后 SONAR 杀 4:
文件名: 0725(4).exe
威胁名称: SONAR.Dropper完整路径: 不可用
____________________________
____________________________
在电脑上
2018/7/25 ( 21:07:05 )
上次使用时间
2018/7/25 ( 21:07:05 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
0725(4).exe 威胁名称: SONAR.Dropper
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
360zip.exe
创建的文件:
0725(4).exe
____________________________
文件操作
文件: g:\样本\package 0725\ 0725(4).exe 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ 1.vbs 不需要操作
文件: c:\users\tom-w\appdata\locallow\sogoupy\ verify.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\ componentconfig.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picface_sugg.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud_bak.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey_bak.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ qq_pkg_info.dat 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\ env.ini 威胁已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\Microsoft\Windows\CurrentVersion\ ApplicationAssociationToasts->VBSFile_.vbs, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\WINDOWS\System32\ WScript.exe.FriendlyAppName, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache->C:\WINDOWS\System32\ WScript.exe.ApplicationCompany, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbs\ OpenWithList, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532523894, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532523894, 注册表配置单元: 64 位 已修复
____________________________
网络操作
事件: 已触发自动防护 (执行者 g:\样本\package 0725\0725(4).exe, PID:2476) 未采取操作
事件: 已触发自动防护 (执行者 c:\users\tom-w\appdata\local\temp\1.vbs, PID:2476) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(4).exe, PID:2476) 未采取操作
(执行者 g:\样本\package 0725\0725(4).exe, PID:2476) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ wscript.exe, PID:5468 (执行者 g:\样本\package 0725\0725(4).exe, PID:2476) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(4).exe, PID:2476 (执行者 g:\样本\package 0725\0725(4).exe, PID:2476) 未采取操作
事件: 进程启动 (执行者 c:\users\tom-w\appdata\local\temp\1.vbs, PID:5468) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ wscript.exe, PID:5468 (执行者 c:\users\tom-w\appdata\local\temp\1.vbs, PID:5468) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
5,双击, SONAR杀,但需要重新启动:
文件名: 0725(5).exe
威胁名称: SONAR.ProcHijack!gen9完整路径: 不可用
____________________________
____________________________
在电脑上
2018/7/25 ( 21:09:37 )
上次使用时间
2018/7/25 ( 21:09:37 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
0725(5).exe 威胁名称: SONAR.ProcHijack!gen9
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
360zip.exe
创建的文件:
0725(5).exe
____________________________
文件操作
文件: g:\样本\package 0725\ 0725(5).exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\etaxvuwrno\ jwsnvwtgizuxnqt.exe 威胁已删除
文件: c:\users\tom-w\appdata\roaming\microsoft\windows\start menu\programs\startup\ jwsnvwtgizuxnqt.fr.url 威胁已删除
文件: c:\users\tom-w\appdata\local\temp\ jqgpxarh 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\ verify.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\ componentconfig.ini 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picface_sugg.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud_bak.bin 威胁已删除
文件: c:\programdata\sogouinput\components\picface\cloud\ sgim_picface_cloud.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey_bak.bin 威胁已删除
文件: c:\program files (x86)\sogouinput\components\picface\1.1.0.1819\picfacedata\ sgim_pf_ckey.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin.bak 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_piccell.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ sgim_picidx.v2.bin 威胁已删除
文件: c:\users\tom-w\appdata\locallow\sogoupy\components\picface\picfacedata\ qq_pkg_info.dat 威胁已删除
文件: c:\Users\tom-w\AppData\LocalLow\SogouPY\ env.ini 威胁已删除
事件: 正在运行进程: g:\样本\package 0725\ 0725(5).exe 已终止
目录: c:\users\tom-w\appdata\roaming\ etaxvuwrno 威胁已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532523894, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532523894, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524178, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524178, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524179, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524179, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524180, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524180, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->SogouComponentFirstLoad:1532524182, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ SogouInput.user->Used:1532524182, 注册表配置单元: 64 位 已修复
____________________________
系统设置操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(5).exe, PID:2632) 未采取操作
(执行者 g:\样本\package 0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:15684 (执行者 g:\样本\package 0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:4808 (执行者 g:\样本\package 0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(5).exe, PID:4808) 未采取操作
(执行者 g:\样本\package 0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:2632 (执行者 g:\样本\package 0725\0725(5).exe, PID:2632) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:13792 (执行者 g:\样本\package 0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:1616 (执行者 g:\样本\package 0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(5).exe, PID:1616) 未采取操作
(执行者 g:\样本\package 0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:4808 (执行者 g:\样本\package 0725\0725(5).exe, PID:4808) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:12208 (执行者 g:\样本\package 0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:15084 (执行者 g:\样本\package 0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(5).exe, PID:15084) 未采取操作
(执行者 g:\样本\package 0725\0725(5).exe, PID:15084) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:1616 (执行者 g:\样本\package 0725\0725(5).exe, PID:1616) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v2.0.50727\ RegAsm.exe, PID:1760 (执行者 g:\样本\package 0725\0725(5).exe, PID:15084) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:3588 (执行者 g:\样本\package 0725\0725(5).exe, PID:15084) 未采取操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(5).exe, PID:3588) 未采取操作
(执行者 g:\样本\package 0725\0725(5).exe, PID:3588) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(5).exe, PID:15084 (执行者 g:\样本\package 0725\0725(5).exe, PID:15084) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
9,双击后没有反应。好像自动退出??
文件名: 0725(9).exe
完整路径: G:\样本\PACKAGE 0725\0725(9).exe
____________________________
____________________________
开发人员
不可用
版本
不可用
已识别
2018/7/25 ( 21:11:01 )
上次使用时间
2018/7/25 ( 21:12:44 )
启动项
否
____________________________
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
未知
有关此文件的信息不足,无法推荐它。
____________________________
源文件:
360zip.exe
创建的文件:
0725(9).exe
____________________________
性能
____________________________
平均资源使用率: 低
平均 CPU 使用率: 低
平均内存使用率: 低
____________________________
文件指纹 - SHA:
013a5b58dd98de0200926b2336cf63a3db89196582b26767dfcc1bfad91ed626
文件指纹 - MD5:
ed365cefc903be39bd6be46394d57b41
14,SONAR 杀:
文件名: 0725(14).exe
威胁名称: SONAR.Infostealer!g2完整路径: 不可用
____________________________
____________________________
在电脑上
2018/7/25 ( 21:14:15 )
上次使用时间
2018/7/25 ( 21:14:15 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
0725(14).exe 威胁名称: SONAR.Infostealer!g2
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
360zip.exe
创建的文件:
0725(14).exe
____________________________
文件操作
文件: g:\样本\package 0725\ 0725(14).exe 威胁已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ WinRAR, 注册表配置单元: 64 位 威胁已删除
____________________________
网络操作
事件: 网络活动 (执行者 g:\样本\package 0725\0725(14).exe, PID:15792) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(14).exe, PID:15792) 未采取操作
(执行者 g:\样本\package 0725\0725(14).exe, PID:15792) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(14).exe, PID:15792 (执行者 g:\样本\package 0725\0725(14).exe, PID:15792) 未采取操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(14).exe, PID:10440) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(14).exe, PID:10440 (执行者 g:\样本\package 0725\0725(14).exe, PID:10440) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
25, SONAR杀,
文件名: 0725(25).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用
____________________________
____________________________
在电脑上
2018/7/25 ( 21:15:25 )
上次使用时间
2018/7/25 ( 21:15:25 )
启动项
否
已启动
是
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
0725(25).exe 威胁名称: SONAR.Heuristic.170
定位
极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
高
此文件具有高风险。
____________________________
来源: 外部介质
源文件:
360zip.exe
创建的文件:
0725(25).exe
____________________________
文件操作
文件: g:\样本\package 0725\ 0725(25).exe 威胁已删除
目录: c:\users\tom-w\appdata\local\temp\ 6893a5d897 威胁已删除
目录: c:\programdata\ windows 威胁已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-2297992440-3547089610-872832135-1001\Software\ System32, 注册表配置单元: 64 位 威胁已删除
____________________________
网络操作
事件: 网络活动 (执行者 g:\样本\package 0725\0725(25).exe, PID:14568) 未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 g:\样本\package 0725\0725(25).exe, PID:14568) 未采取操作
(执行者 g:\样本\package 0725\0725(25).exe, PID:14568) 未采取操作
事件: PE 文件创建: c:\programdata\windows\ csrss.exe (执行者 g:\样本\package 0725\0725(25).exe, PID:14568) 未采取操作
事件: 进程启动: g:\样本\package 0725\ 0725(25).exe, PID:14568 (执行者 g:\样本\package 0725\0725(25).exe, PID:14568) 未采取操作
____________________________
文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
|