GandCrab v5.0.4 (19.01.01)

七游

360TSE 监控kill all

lastpass

eset干掉两个准备双击剩下的js文件

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 18637 (20190101)
   
4. 日期: 2019/1/2  时间: 11:35:19
   
5. 已扫描的磁盘、文件夹和文件: C:\Users\gaoju\Desktop\zeqwmv
   
6. C:\Users\gaoju\Desktop\zeqwmv\1.exe - Win32/Kryptik.GOGB 特洛伊木马 的变种 - 通过删除清除 [1]
   
7. C:\Users\gaoju\Desktop\zeqwmv\tm.exe - Win32/Kryptik.GOGB 特洛伊木马 的变种 - 通过删除清除 [1]
   
8. 已扫描的对象数: 3
   
9. 发现的威胁数: 2
   
10. 已清除对象数: 2
    
11. 完成时间: 11:35:20  总扫描时间: 1 秒 (00:00:01)
    
12. 
    
13. 备注:
    
14. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

第三个js防御成功,等了一会儿也没有加密

Miostartos

con16 发表于 2019-1-2 08:15
cis kill

viruscope看样子比最早的花瓶状态强了不少啊

Miostartos

两个exe被NortonB杀。
js ISB.Downloader！gen80

lastpass

金山毒霸扫描全部miss,现在金山云都这么弱了吗
不过防御还是可以的.双击测试都没有被加密.
1.exe



downloader.js




tm.exe这个运行没有加密行为也没有报毒,可能是反虚拟机的

c/mm

avast 扫描KILL2X   双击KILL jS下载的exe文件

pre

Dr.web 扫描Miss 双击Kill 1X

www-tekeze

海颜贝儿 发表于 2019-1-2 12:07
金山毒霸扫描全部miss,现在金山云都这么弱了吗
不过防御还是可以的.双击测试都没有被加密.
1.exe

毒霸的勒索诱饵还不错。。。tm.exe确实反虚拟机，但不反沙盘，加密行为可能要重启后才出现。

左手

是勒索病毒吧。

1. 2019/1/2 星期三 13:03:29    读文件夹 风险提示:低风险    阻止
   
2. 进程: c:\users\administrator\desktop\1.exe
   
3. 目标: D:
   
4. 规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]d:\*
   
5. 
   
6. 2019/1/2 星期三 13:03:29    读文件夹 风险提示:低风险    阻止
   
7. 进程: c:\users\administrator\desktop\1.exe
   
8. 目标: E:
   
9. 规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]e:\*
   
10. 
    
11. 2019/1/2 星期三 13:03:29    读文件夹 风险提示:低风险    阻止
    
12. 进程: c:\users\administrator\desktop\1.exe
    
13. 目标: D:
    
14. 规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]d:\*
    
15. 
    
16. 2019/1/2 星期三 13:03:29    读文件夹 风险提示:低风险    阻止
    
17. 进程: c:\users\administrator\desktop\1.exe
    
18. 目标: E:
    
19. 规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]e:\*
    
20. 
    
21. 2019/1/2 星期三 13:03:29    创建文件 风险提示:低风险    阻止
    
22. 进程: c:\users\administrator\desktop\1.exe
    
23. 目标: C:\$360Section\aa772aa0934a.lock
    
24. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
25. 
    
26. 2019/1/2 星期三 13:03:29    修改文件 风险提示:木马    阻止
    
27. 进程: c:\users\administrator\desktop\1.exe
    
28. 目标: C:\$360Section\360.0ECBA6E008857EC7AD53C1547F2F192F.q3q
    
29. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
30. 
    
31. 2019/1/2 星期三 13:03:40    修改文件 风险提示:木马    阻止
    
32. 进程: c:\users\administrator\desktop\1.exe
    
33. 目标: C:\$360Section\360.43F768CF54BC2E6916D62B6EAA8B0609.q3q
    
34. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
35. 
    
36. 2019/1/2 星期三 13:03:49    修改文件 风险提示:木马    阻止
    
37. 进程: c:\users\administrator\desktop\1.exe
    
38. 目标: C:\$360Section\360.5CC7A6C7A4FD51456D4745C8B1012BC4.q3q
    
39. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
40. 
    
41. 2019/1/2 星期三 13:04:00    修改文件 风险提示:木马    阻止
    
42. 进程: c:\users\administrator\desktop\1.exe
    
43. 目标: C:\$360Section\360.7F9783F4D03D91DFF3F872C859FCF970.q3q
    
44. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
45. 
    
46. 2019/1/2 星期三 13:04:10    修改文件 风险提示:木马    阻止
    
47. 进程: c:\users\administrator\desktop\1.exe
    
48. 目标: C:\$360Section\360.DADEE5BF2AFB739D054335172D1DB2B7.q3q
    
49. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
50. 
    
51. 2019/1/2 星期三 13:04:20    修改文件 风险提示:木马    阻止
    
52. 进程: c:\users\administrator\desktop\1.exe
    
53. 目标: C:\$360Section\360.FAC3E815E11695C6D5657BF335101702.q3q
    
54. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
55. 
    
56. 2019/1/2 星期三 13:04:30    读文件夹 风险提示:低风险    阻止
    
57. 进程: c:\users\administrator\desktop\1.exe
    
58. 目标: C:\$Recycle.Bin
    
59. 规则: [文件组]《保护》f228_系统引导程序 -> [文件]?:\; $recycle.bin
    
60. 
    
61. 2019/1/2 星期三 13:04:31    创建文件 风险提示:低风险    阻止
    
62. 进程: c:\users\administrator\desktop\1.exe
    
63. 目标: C:\360Rec\aa772aa0934a.lock
    
64. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
65. 
    
66. 2019/1/2 星期三 13:04:31    创建文件 风险提示:低风险    阻止
    
67. 进程: c:\users\administrator\desktop\1.exe
    
68. 目标: C:\360Rec\20180515\aa772aa0934a.lock
    
69. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
70. 
    
71. 2019/1/2 星期三 13:04:31    修改文件 风险提示:木马    阻止
    
72. 进程: c:\users\administrator\desktop\1.exe
    
73. 目标: C:\360Rec\20180515\1247A4E.vir
    
74. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
75. 
    
76. 2019/1/2 星期三 13:04:40    修改文件 风险提示:木马    阻止
    
77. 进程: c:\users\administrator\desktop\1.exe
    
78. 目标: C:\360Rec\20180515\215C551.vir
    
79. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
80. 
    
81. 2019/1/2 星期三 13:04:50    创建文件 风险提示:低风险    阻止
    
82. 进程: c:\users\administrator\desktop\1.exe
    
83. 目标: C:\360SANDBOX\aa772aa0934a.lock
    
84. 规则: [文件组]《坚固》f110_只读系统分区 -> [文件]c:\*
    
85. <div class="blockcode"><blockquote>2019/1/2 星期三 13:06:29    创建文件夹 风险提示:低风险    允许
    
86. 进程: c:\users\administrator\desktop\tm.exe
    
87. 目标: C:\windows\50865040750670
    
88. 规则: [文件组]《询问》f266_系统文件夹修改 -> [文件]c:\windows
    
89. 
    
90. 2019/1/2 星期三 13:06:32    创建文件 风险提示:低风险    允许
    
91. 进程: c:\users\administrator\desktop\tm.exe
    
92. 目标: C:\windows\50865040750670\winsvcs.exe
    
93. 规则: [文件组]{Ⅲ安全级别:中}f260_№①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.exe
    
94. 
    
95. 2019/1/2 星期三 13:06:39    修改注册表值 风险提示:木马    阻止
    
96. 进程: c:\users\administrator\desktop\tm.exe
    
97. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services
    
98. 值: C:\windows\50865040750670\winsvcs.exe
    
99. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
100. 
     
101. 2019/1/2 星期三 13:06:44    修改注册表值 风险提示:木马    阻止
     
102. 进程: c:\users\administrator\desktop\tm.exe
     
103. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services
     
104. 值: C:\windows\50865040750670\winsvcs.exe
     
105. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     
106. 
     
107. 2019/1/2 星期三 13:06:51    创建新进程 风险提示:未知    允许
     
108. 进程: c:\users\administrator\desktop\tm.exe
     
109. 目标: c:\windows\50865040750670\winsvcs.exe
     
110. 命令行: C:\windows\50865040750670\winsvcs.exe
     
111. 规则: [应用程序]* -> [子应用程序]*.exe
     
112. 
     
113. 2019/1/2 星期三 13:07:03    修改注册表值 风险提示:木马    阻止
     
114. 进程: c:\windows\50865040750670\winsvcs.exe
     
115. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
     
116. 值: 0x00000001(1)
     
117. 规则: [注册表组]r010_行为防御★★★ -> [注册表]HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
     
118. 
     
119. 2019/1/2 星期三 13:07:03    修改注册表值 风险提示:木马    阻止
     
120. 进程: c:\windows\50865040750670\winsvcs.exe
     
121. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesOverride
     
122. 值: 0x00000001(1)
     
123. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\50865040750670\winsvcs.exe -> [注册表]HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
     
124. 
     
125. 2019/1/2 星期三 13:07:03    修改注册表值 风险提示:木马    阻止
     
126. 进程: c:\windows\50865040750670\winsvcs.exe
     
127. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
     
128. 值: 0x00000001(1)
     
129. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\50865040750670\winsvcs.exe -> [注册表]HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
     
130. 
     
131. 2019/1/2 星期三 13:07:03    修改注册表值 风险提示:木马    阻止
     
132. 进程: c:\windows\50865040750670\winsvcs.exe
     
133. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
     
134. 值: 0x00000001(1)
     
135. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\50865040750670\winsvcs.exe -> [注册表]HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
     
136. 
     
137. 2019/1/2 星期三 13:07:03    修改注册表值 风险提示:木马    阻止
     
138. 进程: c:\windows\50865040750670\winsvcs.exe
     
139. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AutoUpdateDisableNotify
     
140. 值: 0x00000001(1)
     
141. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\50865040750670\winsvcs.exe -> [注册表]HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
     
142. 
     
143. 2019/1/2 星期三 13:07:03    修改注册表值 风险提示:木马    阻止
     
144. 进程: c:\windows\50865040750670\winsvcs.exe
     
145. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
     
146. 值: 0x00000001(1)
     
147. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\50865040750670\winsvcs.exe -> [注册表]HKEY_LOCAL_MACHINE\Software\Microsoft\Security center*
     
148. 
     
149. 2019/1/2 星期三 13:07:08    修改注册表值 风险提示:木马    阻止
     
150. 进程: c:\windows\50865040750670\winsvcs.exe
     
151. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
     
152. 值: 0x00000001(1)
     
153. 规则: [注册表组]r015_注意 -> [注册表]*\Microsoft\Windows NT\CurrentVersion\SystemRestore; DisableSR
     
154. 
     
155. 2019/1/2 星期三 13:07:10    修改注册表值 风险提示:木马    阻止
     
156. 进程: c:\windows\50865040750670\winsvcs.exe
     
157. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
     
158. 值: 0x00000000(0)
     
159. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单
     
160. 
     

复制代码

YU2711

Trend Micro 执行 KILL1 Blocked2