一个锁机样本，谁双击试试？

cz88

火绒反应很快

心心相印

bd kill

左手

1. 2019/1/3/星期四 09:22:06    创建新进程 风险提示:未知    阻止
   
2. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
   
3. 目标: c:\windows\system32\net.exe
   
4. 命令行: net user Administrator BSD
   
5. 规则: [应用程序]??\?* -> [子应用程序]*\net.exe
   
6. 
   
7. 2019/1/3/星期四 09:22:06    访问COM接口 风险提示:低风险 (2)    阻止
   
8. 进程: c:\program files\apple software update\softwareupdate.exe
   
9. 目标: {8BC3F05E-D86B-11D0-A075-00C04FB68820}
   
10. 规则: [应用程序]?:\program files\*\*.exe -> [COM接口]{8BC3F05E-D86B-11D0-A075-00C04FB68820}
    
11. 
    
12. 2019/1/3/星期四 09:22:06    访问网络 风险提示:未知    允许
    
13. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
14. 目标: TCP [本机 : 49704] ->  [42.120.158.5 : 80 (http)]
    
15. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
    
16. 
    
17. 2019/1/3/星期四 09:22:06    访问网络 风险提示:未知    允许
    
18. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
19. 目标: TCP [本机 : 49705] ->  [42.120.158.5 : 80 (http)]
    
20. 规则: [应用程序]*.exe -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
    
21. 
    
22. 2019/1/3/星期四 09:22:06    加载动态链接库 风险提示:中风险    允许
    
23. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
24. 目标: c:\users\administrator\appdata\local\temp\e_n60005\spec.fne
    
25. 规则: [应用程序]?:\*\*\*\*\* -> [动态链接库]..\..\*
    
26. 
    
27. 2019/1/3/星期四 09:22:11    创建文件 风险提示:低风险    允许
    
28. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
29. 目标: C:\Program Files\System.dll
    
30. 规则: [文件组]《行为防御》f060_未知病毒 -> [文件]?:\program files
    
31. 
    
32. 2019/1/3/星期四 09:22:13    创建文件 风险提示:低风险    允许
    
33. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
34. 目标: C:\Program Files\360.dll
    
35. 规则: [文件组]《行为防御》f060_未知病毒 -> [文件]?:\program files
    
36. 
    
37. 2019/1/3/星期四 09:22:18    修改注册表值 风险提示:木马    阻止
    
38. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
39. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System
    
40. 值: C:\Program Files\System.dll
    
41. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
42. 
    
43. 2019/1/3/星期四 09:22:23    修改注册表值 风险提示:木马    阻止
    
44. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
45. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xiaoyang
    
46. 值: C:\Users\Administrator\Desktop\ppp下载\cf过362.exe
    
47. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
48. 
    
49. 2019/1/3/星期四 09:22:23    加载动态链接库 风险提示:中风险    允许
    
50. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
51. 目标: c:\users\administrator\appdata\local\temp\e_n60005\shell.fne
    
52. 规则: [应用程序]?:\*\*\*\*\* -> [动态链接库]..\..\*
    
53. 
    
54. 2019/1/3/星期四 09:22:26    注销、关机或重启系统 风险提示:高风险    阻止
    
55. 进程: c:\users\administrator\desktop\ppp下载\cf过362.exe
    
56. 规则: [应用程序]??\*
    
57. 
    

复制代码

浩瀚哦哦

益达你好

猪肉铺

Avira TR/Gimemo.rtyrb

猪肉铺

虚拟机内无行为，疑似反虚拟机（Armadillo）
以下为内存数据
-----
[ANSI] 0x000090c8: krnln
[ANSI] 0x000090ce: d09f2340818511d396f6aaf844c7e325
[ANSI] 0x000090f3: 系统核心支持库
[ANSI] 0x00009102: spec
[ANSI] 0x00009107: A512548E76954B6E92C21055517615B0
[ANSI] 0x0000912c: 特殊功能支持库
[ANSI] 0x0000913f: 4BB4003860154917BC7D8230BF4FA58A
[ANSI] 0x00009164: 数据操作支持库一
[ANSI] 0x00009175: iext
[ANSI] 0x0000917a: 27bb20fdd3e145e4bee3db39ddd6e64c
[ANSI] 0x0000919f: 扩展界面支持库一
[ANSI] 0x000091b0: shell
[ANSI] 0x000091b6: 52F260023059454187AF826A3C07AF2A
[ANSI] 0x000091db: 操作系统界面功能支持库
[ANSI] 0x000091f2: internet
[ANSI] 0x000091fb: 707ca37322474f6ca841f0e224f4b620
[ANSI] 0x00009220: 互联网支持库
[ANSI] 0x0000923a: const
[ANSI] 0x00009266: xy3316019308.e2.luyouxia.net
[ANSI] 0x00009283: 用户密码：
[ANSI] 0x0000928e: 磁盘密码：
[ANSI] 0x0000929a: net user Administrator
[ANSI] 0x000092b7: jiesuo+QQ609220561
[ANSI] 0x000092d0: IP：
[ANSI] 0x000092d5: xiao yang
复制代码

硬盘锁？
[ANSI] 0x00024b34: 密码不可以为空的！！
[ANSI] 0x00024b49: 密码不能超过30位！！！！！
[ANSI] 0x00024b64: by：xiaoyang
[ANSI] 0x00024b8f: 巾|豁|璋
[ANSI] 0x00024bf5: F怙1栏
[ANSI] 0x00024c5b: AAAAAAAAAAAAAAAAAA
[ANSI] 0x00024c6e: Your disk have a lock!!!Please enter the unlock password
[ANSI] 0x00024d81: 读取原来引导扇区失败！！
[ANSI] 0x00024d9a: 你的硬盘已经加锁，请重启计算机生效！！！
[ANSI] 0x00024dc3: 加锁完毕！
[ANSI] 0x00024dd5: @\\.\\physicaldrive0
复制代码
[ANSI] 0x00024fb2: 客户1
[ANSI] 0x00025022: 透明标签2
[ANSI] 0x0002509a: 下一个版本增加！
[ANSI] 0x000250ae: 判断虚拟机影子系统 一键还原系统 自动判断是否存在还原驱动和影子系统的文件和特征
[ANSI] 0x00025100: 暗金 如存在易语言程序自动关闭程序
[ANSI] 0x00025126: 如果断定点则盗窃全部浏览器的cookie
[ANSI] 0x0002514c: 段QQ对外的聊天卸载无线网卡 有线网卡8
[ANSI] 0x0002517b: help
复制代码

-----
以下由PortEX-Master自动生成
-----
[Armadillo v4.x] bytes matched: 2 at address: 0x3861
pattern:  ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 8b ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ff
复制代码

猪肉铺

易语言无误

，就一个.

迈克菲报可疑
威胁名称        JTI/Suspect.196612!a3518d0673a5

lovelive10010

eset miss

xa0082249956

Windows Sandbox 白屏。