可疑文件

a8855942

huang1111 发表于 2019-5-3 17:14
他没加密而已，导致卡巴流量扫描下来发现他是个恶意文件，直接拦截了。。。。

FS很多样本都要解压杀，双击拦截。卡巴诺顿GD都可以网页拦。

a8855942

a233 发表于 2019-5-3 17:16
大部分杀毒软件都可以检测网页啊

嗯，FS有流量扫描也不怎么样。难得看到网页拦截病毒。

huang1111

a8855942 发表于 2019-5-3 17:36
FS很多样本都要解压杀，双击拦截。卡巴诺顿GD都可以网页拦。

效果一样就好了，要啥自行车
如果实在不行换卡巴啊，价格也便宜

_你好，再见_

温馨小屋

诺顿后知后觉，桌面的文件基本都被破坏了，SONAR才来报毒，而且我再一次见识到了诺顿的清除能力有多弱，病毒进程一直在运行，拿任务管理器就可以结束，他告诉我需要重新启动才可以清除病毒，而且放任病毒继续执行，真是令人窒息。看了看诺顿的回滚列表，基本是把大多数被感染的文件都直接删除了，还没删全，桌面有一大堆残留，把VMTOOLS都弄坏了

文件名: virus.exe
威胁名称: SONAR.Dropper完整路径: 不可用

____________________________

____________________________


在电脑上
2019/5/3 ( 18:12:13 )

上次使用时间
2019/5/3 ( 18:12:13 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


virus.exe 威胁名称: SONAR.Dropper
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
virus.exe

____________________________

文件操作

文件: c:\Users\zry\AppData\Local\Temp\rar$exa2080.33505\ virus.exe 删除失败
文件: c:\program files\common files\AV\norton security\ Upgrade.exe 威胁已删除
文件: c:\program files\common files\AV\norton security\ userdata.cab 威胁已删除
文件: c:\program files\common files\symantec shared\spmanifests\ SYMEVNT.GRD 威胁已删除
文件: c:\program files\common files\symantec shared\spmanifests\ SYMEVNT.SIG 威胁已删除
文件: c:\program files\common files\symantec shared\spmanifests\ SYMEVNT.SPM 威胁已删除
文件: c:\program files\common files\VMware\Drivers\audio\Vista\ vmaudio.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\audio\Vista\ vmaudio.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\audio\Vista\ vmaudio.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\audio\Vista\ vmaudiover.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\hgfs\Vista\ vmhgfs.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\hgfs\Vista\ vmhgfs.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\hgfs\Vista\ vmhgfs.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\hgfs\Vista\ vmhgfsver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\hgfs\Vista\ vmhgfs_x64.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\hgfs\Vista\ vmhgfs_x86.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\memctl\Vista\ vmmemctl.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\memctl\Vista\ vmmemctl.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\memctl\Vista\ vmmemctl.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\memctl\Vista\ vmmemctlver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmmouse.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmmouse.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmmouse.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmmousever.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmusbmouse.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmusbmouse.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmusbmouse.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\mouse\Vista\ vmusbmousever.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\pvscsi\Vista\ pvscsi.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\pvscsi\Vista\ pvscsi.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\pvscsi\Vista\ pvscsi.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\pvscsi\Vista\ pvscsiver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\rawdsk\Vista\ vmrawdsk.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\rawdsk\Vista\ vmrawdsk.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\rawdsk\Vista\ vmrawdsk.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\rawdsk\Vista\ vmrawdskver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3d.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3d.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3ddevapi.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3ddevapi64.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dgl.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dgl64.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dglhelper.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dglhelper64.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dmp-debug.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dmp-stats.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dmp.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dmp_loader.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum-debug.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum-stats.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64-debug.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64-stats.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64_10-debug.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64_10-stats.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64_10.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum64_loader.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum_10-debug.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum_10-stats.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum_10.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dum_loader.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\video_wddm\Vista\ vm3dver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\device\ vmciver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\device\Vista\ vmci.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\device\Vista\ vmci.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\device\Vista\ vmci.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\vmci\device\Vista\ vmciver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\include\ vmci_sockets.h 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\Vista\ vsock.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\Vista\ vsock.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\Vista\ vsock.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\Vista\ vsocklib_x64.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\Vista\ vsocklib_x86.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmci\sockets\Vista\ vsockver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmxnet3\Vista\ vmxnet3.cat 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmxnet3\Vista\ vmxnet3.inf 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vmxnet3\Vista\ vmxnet3.sys 删除失败
文件: c:\program files\common files\VMware\Drivers\vmxnet3\Vista\ vmxnet3ver.dll 威胁已删除
文件: c:\program files\common files\VMware\Drivers\vss\ comreg.exe 威胁已删除
文件: c:\program files\internet explorer\SIGNUP\ install.ins 威胁已删除
文件: c:\program files\microsoft games\Chess\ Chess.dll 威胁已删除
文件: c:\program files\microsoft games\Chess\ Chess.exe 威胁已删除
文件: c:\program files\microsoft games\Chess\ ChessMCE.lnk 威胁已删除
文件: c:\program files\microsoft games\Chess\zh-CN\ chess.exe.mui 威胁已删除
文件: c:\program files\microsoft games\FreeCell\ FreeCell.exe 威胁已删除
文件: c:\program files\microsoft games\FreeCell\ freecellmce.lnk 威胁已删除
文件: c:\program files\microsoft games\FreeCell\zh-CN\ freecell.exe.mui 威胁已删除
文件: c:\program files\microsoft games\Hearts\ Hearts.exe 威胁已删除
文件: c:\program files\microsoft games\Hearts\ heartsmce.lnk 威胁已删除
文件: c:\program files\microsoft games\Hearts\zh-CN\ hearts.exe.mui 威胁已删除
文件: c:\program files\microsoft games\Mahjong\ Mahjong.dll 威胁已删除
文件: c:\program files\microsoft games\Mahjong\ Mahjong.exe 威胁已删除
文件: c:\program files\microsoft games\Mahjong\ mahjongmce.lnk 威胁已删除
文件: c:\program files\microsoft games\Mahjong\zh-CN\ mahjong.exe.mui 威胁已删除
文件: c:\program files\microsoft games\minesweeper\ minesweeper.dll 威胁已删除
文件: c:\program files\microsoft games\minesweeper\ minesweeper.exe 威胁已删除
文件: c:\program files\microsoft games\minesweeper\zh-CN\ minesweeper.exe.mui 威胁已删除
文件: c:\program files\microsoft games\more games\ moregames.dll 威胁已删除
文件: c:\program files\microsoft games\more games\zh-CN\ moregames.dll.mui 威胁已删除
文件: c:\program files\microsoft games\multiplayer\backgammon\ bckg.dll 威胁已删除
文件: c:\program files\microsoft games\multiplayer\backgammon\ bckgRes.dll 威胁已删除
文件: c:\program files\microsoft games\multiplayer\backgammon\ bckgzm.exe 威胁已删除
文件: c:\program files\microsoft games\multiplayer\backgammon\zh-CN\ bckgres.dll.mui 威胁已删除
文件: c:\program files\microsoft games\multiplayer\backgammon\zh-CN\ bckgzm.exe.mui 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Checkers\ Chkr.dll 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Checkers\ ChkrRes.dll 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Checkers\ chkrzm.exe 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Checkers\zh-CN\ chkrres.dll.mui 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Checkers\zh-CN\ chkrzm.exe.mui 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Spades\ Shvl.dll 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Spades\ ShvlRes.dll 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Spades\ shvlzm.exe 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Spades\zh-CN\ shvlres.dll.mui 威胁已删除
文件: c:\program files\microsoft games\multiplayer\Spades\zh-CN\ shvlzm.exe.mui 威胁已删除
文件: c:\program files\microsoft games\purble place\ purbleplace.dll 威胁已删除
文件: c:\program files\microsoft games\purble place\ purbleplace.exe 威胁已删除
文件: c:\program files\microsoft games\purble place\ purbleplace2.dll 威胁已删除
文件: c:\program files\microsoft games\purble place\ purbleplacemce.lnk 威胁已删除
文件: c:\program files\microsoft games\purble place\zh-CN\ purbleplace.exe.mui 威胁已删除
文件: c:\program files\microsoft games\solitaire\ solitaire.exe 威胁已删除
文件: c:\program files\microsoft games\solitaire\ solitairemce.lnk 威胁已删除
文件: c:\program files\microsoft games\solitaire\zh-CN\ solitaire.exe.mui 威胁已删除
文件: c:\program files\microsoft games\spidersolitaire\ spidersolitaire.exe 威胁已删除
文件: c:\program files\microsoft games\spidersolitaire\ spidersolitairemce.lnk 威胁已删除
文件: c:\program files\microsoft games\spidersolitaire\zh-CN\ spidersolitaire.exe.mui 威胁已删除
文件: c:\program files\MSBuild\microsoft\windows workflow foundation\v3.0\ workflow.targets 威胁已删除
文件: c:\program files\MSBuild\microsoft\windows workflow foundation\v3.0\ workflow.visualbasic.targets 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\zry\appdata\local\temp\rar$exa2080.33505\virus.exe, PID:3144) 未采取操作
事件: 进程启动: c:\Users\zry\AppData\Local\Temp\rar$exa2080.33505\ virus.exe, PID:3144 (执行者 c:\users\zry\appdata\local\temp\rar$exa2080.33505\virus.exe, PID:3144) 未采取操作
事件: 进程启动 (执行者 c:\users\zry\appdata\local\temp\rar$exa2080.33505\virus.exe, PID:3364) 未采取操作
事件: PE 文件创建: c:\program files\common files\VMware\installercache\ {748d3a12-9b82-4b08-a0ff-cfde83612e87}.msi (执行者 c:\users\zry\appdata\local\temp\rar$exa2080.33505\virus.exe, PID:3364) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

温馨小屋

a233 发表于 2019-5-3 17:16
大部分杀毒软件都可以检测网页啊

可是诺顿就不行，诺顿对网页内容的监测全靠IPS，下载无加密样本根本没事，只有文件落到本地才会触发自动防护

761773275

Malwarebytes

skystars

NH，ZJ 发表于 2019-5-3 17:45

易语言写的（不加壳），极宝都报

a233

skystars 发表于 2019-5-3 18:30
易语言写的（不加壳），极宝都报

这病毒是你做的？

skystars

a233 发表于 2019-5-3 18:34
这病毒是你做的？

对啊，加密C盘所有文件