Ransom2 (19.04.18)

petr0vic

infected

小Q机器人

卡巴斯基多次扫描安全  ，其他杀软都可以杀 ，请看图

761773275

可疑文件： c.exe

路径： C:\Users\*zavier\Desktop\c.exe

详细信息
•    Drop.Win32.FakeProgHidden.265

修改的文件
•    C:\Users\*zavier\AppData\Local\Temp\6893A5D897\state.tmp
•    C:\Users\*zavier\AppData\Local\Temp\6893A5D897\lock
•    C:\ProgramData\Windows\csrss.exe
•    C:\Users\*zavier\Desktop\c.exe

修改的注册表
•    HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Run : Client Server Runtime Subsystem (value = "C:\ProgramData\Windows\csrss.exe")
•    HKEY_CURRENT_USER\_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\System32\Configuration : xVersion (value = 4.0.0.1)
•    HKEY_CURRENT_USER\_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\System32\Configuration : xi (value = 9CDDA621480A1F73C4E8)
•    HKEY_CURRENT_USER\_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\System32 :  (value = )
•    HKEY_CURRENT_USER\_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\System32\Configuration :  (value = )

2019/4/18 22:52:44

tgzw1680

卡巴 pdm杀

帝辛

这样本怕是有点老。。。2个月前的GD库用的BD引擎杀了。

petr0vic

火绒 5.0.2.3
c.exe, Detection: HEUR:VirTool/Obfuscator.gen!B

温馨小屋

文件名: c.exe
威胁名称: Packed.Generic.459完整路径: C:\Users\zry98\Downloads\Compressed\c_2\c.exe

____________________________

____________________________


在电脑上 
2019/4/18 ( 23:10:40 )

上次使用时间 
2019/4/18 ( 23:10:40 )

启动项 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


c.exe 威胁名称: Packed.Generic.459
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DU5MDY4OHwyMTQ3NTk2
已下载文件 从 att.kafan.cn
来源: 外部介质


____________________________

文件操作

文件: C:\Users\zry98\Downloads\Compressed\c_2\ c.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

iha40999

EIS  监控  kill

，就一个.

WD

Trojan:Win32/Occamy.C

a233

Avast