鱼，NET最新版报高风险，被强行删除，不能恢复

沃土茂林 · 发表于 2014-9-12 11:37:51

鱼：

NET最新版报高风险，被强行删除，不能恢复，请修正！

=====================================
文件名: 12306订票助手.exe
威胁名称: SONAR.Heuristic.120完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 38

____________________________

在电脑上的创建时间 2014-9-11 ( 9:44:08 )
上次使用时间 2014-9-11 ( 9:44:08 )
启动项目否
已启动是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
explorer.exe

创建的文件:
12306订票助手.exe

____________________________

文件操作

文件: d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe
已删除
文件: c:\documents and settings\administrator\application data\ifish\12306toba\cache\trainstation.js
已删除
文件: c:\documents and settings\administrator\application data\microsoft\crypto\rsa\s-1-5-21-1343024091-57989841-1417001333-500\a18ca4003deb042bbee7a40f15e1970b_aa2bf9f1-debc-4aab-85d5-b4272b6581be
已删除
文件: c:\documents and settings\administrator\local settings\application data\microsoft\internet explorer\domstore\w4pc94zc\store.fishlee[1].xml
已删除
文件: c:\documents and settings\administrator\application data\ifish\12306toba\key.dat
已删除
文件: d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\portable
已删除
目录: c:\documents and settings\administrator\local settings\temp\6d35f190-30b7-4e44-8678-b6a7bc4137d3
不需要操作
目录: c:\documents and settings\administrator\application data\iFish\12306toba
需要重新启动
目录: c:\documents and settings\administrator\application data\ifish\12306toba\users
已删除
目录: c:\documents and settings\administrator\application data\ifish\12306toba\cache
已删除
目录: c:\documents and settings\administrator\local settings\temp\89b01752-3cb3-427c-bbfc-ee258f211b4e
不需要操作
____________________________

网络操作

事件: 网络活动 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:2112)
未采取操作
事件: 网络活动 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3596)
未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
(执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动: c:\WINDOWS\microsoft.net\framework\v4.0.30319\csc.exe, PID:3704 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动: c:\WINDOWS\microsoft.net\framework\v4.0.30319\csc.exe, PID:688 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动: c:\WINDOWS\microsoft.net\framework\v4.0.30319\csc.exe, PID:3044 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\local settings\temp\6d35f190-30b7-4e44-8678-b6a7bc4137d3\simpleupdater.dll (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\local settings\temp\6d35f190-30b7-4e44-8678-b6a7bc4137d3\autoupdater.exe (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动: c:\documents and settings\administrator\local settings\temp\6d35f190-30b7-4e44-8678-b6a7bc4137d3\autoupdater.exe, PID:1616 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动: c:\program files\internet explorer\iexplore.exe, PID:2800 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动: d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3580)
未采取操作
事件: 进程启动 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:2112)
未采取操作
(执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:2112)
未采取操作
事件: 进程启动: d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:2112 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:2112)
未采取操作
事件: 进程启动 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
(执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: 进程启动: c:\WINDOWS\microsoft.net\framework\v4.0.30319\csc.exe, PID:3532 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: 进程启动: c:\WINDOWS\microsoft.net\framework\v4.0.30319\csc.exe, PID:3544 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: 进程启动: c:\WINDOWS\microsoft.net\framework\v4.0.30319\csc.exe, PID:3560 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\local settings\temp\89b01752-3cb3-427c-bbfc-ee258f211b4e\simpleupdater.dll (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\local settings\temp\89b01752-3cb3-427c-bbfc-ee258f211b4e\autoupdater.exe (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: 进程启动: c:\documents and settings\administrator\local settings\temp\89b01752-3cb3-427c-bbfc-ee258f211b4e\autoupdater.exe, PID:2160 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: 进程启动: d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:536)
未采取操作
事件: 进程启动 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3596)
未采取操作
(执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3596)
未采取操作
事件: 进程启动: d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3596 (执行者 d:\my documents\downloads\12306订票助手.net_3.1.2.1\12306订票助手.net\12306订票助手.exe, PID:3596)
未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

沃土茂林 · 发表于 2014-9-12 13:49:39

忘了说明，我用的是NIS 2014 昨天都有使用的，今天想试试自动验证码就不能用了，一启动NIS直接删除。

lummar · 发表于 2014-9-16 11:19:19

为神马总有人要那虚假的安全感。。。

沃土茂林 · 发表于 2014-9-16 17:22:14

lummar 发表于 2014-9-16 11:19
为神马总有人要那虚假的安全感。。。

你这么一句话，会误导多少人，对安全不重视。

能到这里来的，都是会在网上消费的，也都是在外面漂的，不注意网络安全，会有多少人中招。

“鱼”肯定是信的过，但是软件有报，或者直接被强行删除，很多人不敢用或者没有的用，上报给“鱼”改进到不报，能让更多的人用，不是更好吗？

木魚 · 发表于 2014-9-16 23:07:18

沃土茂林发表于 2014-9-16 17:22
你这么一句话，会误导多少人，对安全不重视。

NSIS报危险只是因为他记录到很少的用户信任而已，没有其他理由。很抱歉我无法改进。

lummar · 发表于 2014-9-19 22:28:48

沃土茂林发表于 2014-9-16 17:22
你这么一句话，会误导多少人，对安全不重视。

呵呵，安全绝对不是安装一个杀毒软件。
看看下面的情况你就知道为什么杀毒软件没用:
1。新病毒，断然是识别不了的，因为病毒库里没有。。。
2。老病毒，能识别，但是无法移除。。。相信你不止一次碰到这种情况吧
3。老病毒，碰巧可以移除。。。但是，但是，这种病毒也是很容易移除的，往往杀掉进程，删除文件就完了。

看看上面三种情况，请问你要杀毒软件做什么？第一种情况，无用；第二种情况，还是无用；第三种情况，基本无用，方便一点而已。

最可笑的在于，某些人生怕中病毒，却可以心安理得的在机器上安装流氓软件鼻祖发布的“免费”杀毒软件（某个数字，如果不知道当我没说）。果真相当有安全意识。

其实现在win已经相当安全了，使用普通用户，打开UAC，碰到UAC提示的时候想想自己在做什么，是不是真的需要管理员权限，就基本上不会中毒了。平时多留意进程列表，如果发现可疑进程立即检查系统。如果一直用的是普通用户，即使中毒了也翻不起多大浪，最多删除中毒的用户就好了。

另外，个人经验，删除McAfee之后，Win7的系统评级直接增加了1分。呵呵

木魚 · 发表于 2014-9-19 22:54:21

lummar 发表于 2014-9-19 22:28
呵呵，安全绝对不是安装一个杀毒软件。
看看下面的情况你就知道为什么杀毒软件没用:
1。新病毒，断然是识 ...

当人不懂的时候，对东西的依赖性就会很高的。
貌似我也裸奔很多年了，从05年后就没用过任何安全产品。

沃土茂林 · 发表于 2014-9-22 13:52:40

本帖最后由沃土茂林于 2014-9-22 14:06 编辑

lummar 发表于 2014-9-19 22:28
呵呵，安全绝对不是安装一个杀毒软件。
看看下面的情况你就知道为什么杀毒软件没用:
1。新病毒，断然是识 ...

世上没有绝对安全的安全软件，就如同你家装的锁，真的安全吗？随便从马路边找个开锁的，要不了多长时间就可以打开。

关键点是开锁他是需要时间的，有锁的和没锁的比，肯定找没锁的先下手，有锁也能防住绝大多数人，高人不算。“肉鸡”也见过很多，不少都是很牛B的说“我一直裸奔，从未中招”，当然也不排除自己“裸奔”确实不中招的人，因为这部分人就是可以让别人中招的人，是很懂的人；装了安全软件也有中招的，但是中招的概率同“裸奔”的相比是显而易见的。

只会上网、聊Q、玩游戏的普通人说“裸奔”，我就只能笑。

“鱼”就不用说了，全国也才出一条这样的“鱼”，没有代表性。

帐号		自动登录	找回密码
密码			入住

[讨论中] 鱼，NET最新版报高风险，被强行删除，不能恢复

点评

点评

点评

点评

[讨论中] 鱼，NET最新版报高风险，被 强行删除，不能恢复

点评

点评

点评

点评

[讨论中] 鱼，NET最新版报高风险，被强行删除，不能恢复