2751c9ce1f5f1640e6bf7b0100a869cd0af446ef12ef03ac5b7aba7ab5a55f3f

显示全部楼层 · 发表于 2019-8-16 19:43:05

微软目前结果。

显示全部楼层 · 发表于 2019-8-16 19:44:12

暗_黑发表于 2019-8-16 19:41
这。。。不科学

一会就科学了，不就UDS吗，加壳解决一切问题

显示全部楼层 · 发表于 2019-8-16 19:46:06

暗_黑发表于 2019-8-16 19:41
这。。。不科学

加壳双击

16.08.2019 19.45.22;检测到恶意软件;PDM:Trojan.Win32.Generic;C:\Users\zry\Desktop\2019-08-16 104020.exe;c:\users\zry\desktop\2019-08-16 104020.exe;08/16/2019 19:45:22

一会诺顿也来一发，诺顿的特征也挺弱的

显示全部楼层 · 发表于 2019-8-16 19:48:26

Norton

文件名: 2019-08-16 104020.exe
威胁名称: Trojan Horse

加壳后miss

双击

文件名: 2019-08-16 104020.exe
威胁名称: SONAR.SuspBeh!gen526完整路径: 不可用

____________________________

____________________________

在电脑上
2019/8/16 ( 19:46:59 )

上次使用时间
2019/8/16 ( 19:46:59 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

2019-08-16 104020.exe 威胁名称: SONAR.SuspBeh!gen526
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
2019-08-16 104020.exe

____________________________

文件操作

文件: c:\Users\zry\Desktop\ 2019-08-16 104020.exe 威胁已删除
文件: c:\Users\Public\ qaieonhpkm.vbs 威胁已删除
文件: c:\Users\zry\AppData\Roaming\RmClient\ pcalua.bat 威胁已删除
文件: c:\Users\Public\ qaieonhpkm.vbs 不需要操作
目录: c:\users\zry\appdata\roaming\ rmclient 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-2467112973-1411135096-3433257713-1000\Software\Microsoft\Windows\CurrentVersion\ Run->qaieonhpkm, 注册表配置单元: 64 位威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\roaming\rmclient\ pcalua.bat (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:1680 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ 2019-08-16 104020.exe, PID:1548 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
____________________________

可疑操作

(执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2019-8-16 20:55:44

Dr.web

2019/8/16 20:54元件：
行為分析編號：
501事件：
已檢測到威脅詳細資料：
物件： 2019-08-16 104020.exe
威脅： DPH:Trojan.Inject.2.16
操作：已隔離
路徑： C:\Users\join\Desktop\2019-08-16 104020\2019-08-16 104020.exe

显示全部楼层 · 发表于 2019-8-16 22:31:58

4楼智量Heur杀，火绒Miss，有空双击。。

显示全部楼层 · 发表于 2019-8-16 23:36:10

www-tekeze 发表于 2019-8-16 22:31
4楼智量Heur杀，火绒Miss，有空双击。。

双击，首先被智量主防杀！

退出智量双击，添加自启、联网，还会释放文件到Roaming里，但随后出错，重启后不试了。

显示全部楼层 · 发表于 2019-8-17 00:04:41

*** 进程 ***

进程: 4952
文件名: 2019-08-16 104020.exe
路径: C:\Users\Administrator\Desktop\2019-08-16 104020.exe

发行商：: 未知发行商
创建日期: 2019年8月16日 23:59:51
修改日期: 2019年8月16日 18:13:01

启动进程：: explorer.exe
发行商：: Microsoft Windows

*** 操作 ***

程序正试图建立自启动项，以在系统启动时自动运行。
程序已从自身的程序文件读取数据。
可执行文件被保存在一个可疑位置。
可疑位置为启动区域。

*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\Administrator\AppData\Roaming\RmClient\pcalua.bat
C:\Users\Administrator\Desktop\2019-08-16 104020.exe
C:\Users\Public\qaieonhpkm.vbs

下列注册表项被删除：

\registry\user\s-1-5-21-1173843205-2768935696-3335642588-500\software\microsoft\windows\currentversion\run || qaieonhpkm

YGLhmvLAcoJygmJi0HKCcoJiYnAqdHJCJycmBrdycnJyYmKALicoJygmBrli4ZqykC0nCI9y0nLSYmLwKScnJycmBncqJwiHKicnJycmBocsJycnJyYGpysX5jXGcnJhXmMsJyYG5ygnB/cpJycnJyYGuCwnJycnJgboKicH6CsnJyYmJwcA
规则版本： 5.0.152
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本： 76935

"C:\Users\Administrator\Desktop\2019-08-16 104020.exe"
MD5: 2CF48DF14B1B1DDB0D7A204CCDA7B671
C:\Windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24

这个vbs居然被B引擎报了。

显示全部楼层 · 发表于 2019-8-17 11:19:05

趋势 Mac：TROJ_GEN.R020C0DHG19

显示全部楼层 · 发表于 2019-8-19 08:48:25

智量heur杀，火绒miss，数字杀！

[病毒样本] 2751c9ce1f5f1640e6bf7b0100a869cd0af446ef12ef03ac5b7aba7ab5a55f3f

本帖子中包含更多资源

本帖子中包含更多资源