Shade (19.05.23)

显示全部楼层 · 发表于 2019-5-23 16:54:01

本帖最后由 humanlwj52 于 2019-5-23 17:05 编辑

G DATA emptied.
1.scr

The cloud server recognized this file and identified it as malicious.

复制代码

1-1.scr

The program has created files and folders that can be used to endanger the system.
The program is trying to create a startup item to launch a program automatically at system startup.
The program has created or manipulated an executable file.
The program has read data from its own program file.
The program created a copy of itself.

复制代码

2.exe

The file was moved to quarantine.
File: C:\Users\promi\Desktop\2\2.exe
Virus: Win32.Trojan-Ransom.Shade.DFRGDK (Engine B)
Engines: Engine A: AVA 25.22075, Engine B: GD 25.15148

复制代码

2-2.exe

The program has created files and folders that can be used to endanger the system.
The program is trying to create a startup item to launch a program automatically at system startup.
The program has created or manipulated an executable file.
The program has read data from its own program file.
The program created a copy of itself.

复制代码

显示全部楼层 · 发表于 2019-5-23 17:22:26

evans168 发表于 2019-5-23 15:57
FortiClient

什么版本

显示全部楼层 · 发表于 2019-5-23 18:02:12

WD

显示全部楼层 · 发表于 2019-5-23 18:30:32

BD blocked all

显示全部楼层 · 发表于 2019-5-23 19:15:47

a445441 发表于 2019-5-23 16:37
卡巴KILL2个

卡巴已清空

显示全部楼层 · 发表于 2019-5-23 20:38:24

2019/5/23 星期四 20:37:19 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: D:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]d:\*
2019/5/23 星期四 20:37:19 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: E:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]e:\*
2019/5/23 星期四 20:37:19 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: F:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*
2019/5/23 星期四 20:37:19 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: G:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]g:\*
2019/5/23 星期四 20:37:19 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: H:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]h:\*
2019/5/23 星期四 20:37:19 创建文件风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: C:\ProgramData\Windows\csrss.exe
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《询问》f879_伪造系统进程 -> [文件]*; csrss.exe
2019/5/23 星期四 20:37:19 修改注册表值风险提示:木马阻止
进程: c:\users\administrator\desktop\2\1.scr
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
值: "C:\Users\Administrator\Desktop\2\1.scr"
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
2019/5/23 星期四 20:37:19 创建文件风险提示:低风险阻止并结束进程
进程: c:\users\administrator\desktop\2\1.scr
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk
规则: [应用程序]?* -> [文件组]《保护》f020_开始菜单启动项 -> [文件]c:\users\*\appdata\*\microsoft\windows\start menu\programs\startup*
2019/5/23 星期四 20:37:22 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: D:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]d:\*
2019/5/23 星期四 20:37:22 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: E:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]e:\*
2019/5/23 星期四 20:37:22 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: F:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*
2019/5/23 星期四 20:37:22 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: G:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]g:\*
2019/5/23 星期四 20:37:22 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: H:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]h:\*
2019/5/23 星期四 20:37:22 创建文件风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: C:\ProgramData\Windows\csrss.exe
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《询问》f879_伪造系统进程 -> [文件]*; csrss.exe
2019/5/23 星期四 20:37:22 修改注册表值风险提示:木马阻止
进程: c:\users\administrator\desktop\2\1-1.scr
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
值: "C:\Users\Administrator\Desktop\2\1-1.scr"
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
2019/5/23 星期四 20:37:22 创建文件风险提示:低风险阻止并结束进程
进程: c:\users\administrator\desktop\2\1-1.scr
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk
规则: [应用程序]?* -> [文件组]《保护》f020_开始菜单启动项 -> [文件]c:\users\*\appdata\*\microsoft\windows\start menu\programs\startup*
2019/5/23 星期四 20:37:39 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: D:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]d:\*
2019/5/23 星期四 20:37:39 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: E:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]e:\*
2019/5/23 星期四 20:37:39 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: F:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*
2019/5/23 星期四 20:37:39 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: G:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]g:\*
2019/5/23 星期四 20:37:39 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: H:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]h:\*
2019/5/23 星期四 20:37:39 创建文件风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: C:\ProgramData\Windows\csrss.exe
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f879_伪造系统进程 -> [文件]*; csrss.exe
2019/5/23 星期四 20:37:39 修改注册表值风险提示:木马阻止
进程: c:\users\administrator\desktop\2\2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
值: "C:\Users\Administrator\Desktop\2\2.exe"
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
2019/5/23 星期四 20:37:39 创建文件风险提示:低风险阻止并结束进程
进程: c:\users\administrator\desktop\2\2.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk
规则: [应用程序]?* -> [文件组]《保护》f020_开始菜单启动项 -> [文件]c:\users\*\appdata\*\microsoft\windows\start menu\programs\startup*
2019/5/23 星期四 20:37:42 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: D:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]d:\*
2019/5/23 星期四 20:37:42 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: E:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]e:\*
2019/5/23 星期四 20:37:42 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: F:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*
2019/5/23 星期四 20:37:42 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: G:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]g:\*
2019/5/23 星期四 20:37:42 读文件夹风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: H:
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]h:\*
2019/5/23 星期四 20:37:42 创建文件风险提示:低风险阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: C:\ProgramData\Windows\csrss.exe
规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f879_伪造系统进程 -> [文件]*; csrss.exe
2019/5/23 星期四 20:37:42 修改注册表值风险提示:木马阻止
进程: c:\users\administrator\desktop\2\2-2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
值: "C:\Users\Administrator\Desktop\2\2-2.exe"
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
2019/5/23 星期四 20:37:42 创建文件风险提示:低风险阻止并结束进程
进程: c:\users\administrator\desktop\2\2-2.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.lnk
规则: [应用程序]?* -> [文件组]《保护》f020_开始菜单启动项 -> [文件]c:\users\*\appdata\*\microsoft\windows\start menu\programs\startup*

复制代码

显示全部楼层 · 发表于 2019-5-23 22:48:08

本帖最后由 evans168 于 2019-5-23 22:59 编辑

761773275 发表于 2019-5-23 17:22
什么版本

FortiClient

显示全部楼层 · 发表于 2019-5-23 23:22:55

evans168 发表于 2019-5-23 22:48
FortiClient

xp?

显示全部楼层 · 发表于 2019-5-23 23:28:19

761773275 发表于 2019-5-23 23:22
xp?

Win10

显示全部楼层 · 发表于 2019-5-24 00:30:31

EIS 11
kill all 4x

[病毒样本] Shade (19.05.23)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源