莫明其妙的病毒

显示全部楼层 · 发表于 2017-7-12 00:12:54

本帖最后由 mianning 于 2017-7-12 00:29 编辑

这个东西是我在恢复ghost镜像的时候发现的，平实是隐藏文件，偶然发现的。
总共五个文件，里面有三个exe文件，每ghost重装一次系统，这三个exe文件名都会改变，每次不一样。
运行后会自动安装好压、360、王牌播放器等一堆乱七八糟的东西
安装完乱七八糟的东西以后这个文件夹里的所有文件就自动消失了
真TMD垃圾
另外还有一个app.dat 八十三兆的大文件，估计是安装文件
用avast和ESET(NOD32)扫描都不报毒

请大侠帮我看看，这是个什么垃圾，怎么带来的。我一重装系统ghost这个东西就自动出现
启动u盘我最近换成了 U大师U盘启动盘制作工具，不知道跟它有没有关系

病毒样本

另外那个八十三兆的app.dat文件

显示全部楼层 · 发表于 2017-7-12 00:29:59

avast

显示全部楼层 · 发表于 2017-7-12 00:32:31

DF快递发表于 2017-7-12 00:29
avast

那个报的毒是更改浏览器主页的，它还不是最重要的
我在ghost一个镜像完了以后，这个垃圾就自动启动安装那些好压之类的东西

显示全部楼层 · 发表于 2017-7-12 00:38:39

关于SXL252tran.exe在File_Analysis里的运行日志
[mw_shl_code=css,true]00:35:18[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：1.2.0.0

00:35:18[2]：(允许)获取文件属性：C:\Users\wang\AppData\Roaming

00:35:18[3]：(安全环境)查找文件目录：C:\Users\wang\Desktop\File_safe\

00:35:18[4]：(允许)获取文件属性：

00:35:18[5]：(允许)查找文件目录：C:\

00:35:18[6]：(允许)获取文件属性：C:\

00:35:18[7]：(允许)读取文件：C:\Windows\Registration\R00000000000c.clb    访问权限：-2147483648

00:35:18[8]：(允许)获取文件属性：C:\cmd.exe

00:35:18[9]：(允许)获取文件属性：C:\Windows\system32\cmd.exe

00:35:18[10]：(允许)读取文件：C:\    访问权限：1048705

00:35:18[11]：(允许)读取文件：C:\Windows    访问权限：1048705

00:35:18[12]：(允许)读取文件：C:\Windows\System32    访问权限：1048705

00:35:18[13]：(安全环境)创建文件目录：C:\Users\wang\AppData\Local\Microsoft\Windows\Caches

00:35:18[14]：(允许)读取文件：C:\Users\wang\AppData\Local\Microsoft\Windows\Caches\cversions.1.db    访问权限：-2147483648

00:35:18[15]：(安全环境)创建文件目录：C:\Users\wang\AppData\Local\Microsoft\Windows\Caches

00:35:18[16]：(允许)读取文件：C:\Users\wang\AppData\Local\Microsoft\Windows\Caches\cversions.1.db    访问权限：-2147483648

00:35:18[17]：(阻止)删除文件：C:\Users\wang\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000000.db

00:35:18[18]：(允许)读取文件：C:\Users\wang\Desktop\desktop.ini    访问权限：-2147483648

00:35:18[19]：(阻止)删除注册表值：\ProxyBypass

00:35:18[20]：(阻止)删除注册表值：\IntranetName

00:35:18[21]：(阻止)写注册表值：\UNCAsIntranet

00:35:18[22]：(阻止)写注册表值：\AutoDetect

00:35:18[23]：(阻止)删除注册表值：\ProxyBypass

00:35:18[24]：(阻止)删除注册表值：\IntranetName

00:35:18[25]：(阻止)写注册表值：\UNCAsIntranet

00:35:18[26]：(阻止)写注册表值：\AutoDetect

00:35:18[27]：(允许)获取文件属性：C:\Users\wang\AppData\Local\Microsoft\Windows\Temporary Internet Files

00:35:19[28]：(允许)获取文件属性：C:\Users\wang\AppData\Roaming\Microsoft\Windows\Cookies

00:35:19[29]：(允许)读取文件：C:\Windows\System32\cmd.exe    访问权限：131072

00:35:19[30]：(允许)获取文件属性：C:\Windows\System32\cmd.exe

00:35:19[31]：(允许)获取文件属性：C:\Windows\System32\cmd.exe

00:35:19[32]：(允许)获取文件属性：C:\Windows\System32\cmd.exe:Zone.Identifier

00:35:19[33]：(阻止)创建进程：C:\Windows\System32\cmd.exe    命令行："C:\Windows\System32\cmd.exe" /c sc stop

00:35:19[34]：(安全环境)查找文件目录：C:\Users\wang\Desktop\File_safe\

00:35:19[35]：(允许)获取文件属性：C:\Users\wang\Desktop\File_safe\

00:35:19[36]：(允许)获取文件属性：C:\Users\wang\Desktop\File_safe\cmd.exe

00:35:19[37]：(允许)获取文件属性：C:\Windows\system32\cmd.exe

00:35:19[38]：(允许)读取文件：C:\    访问权限：1048705

00:35:19[39]：(允许)读取文件：C:\Windows    访问权限：1048705

00:35:19[40]：(允许)读取文件：C:\Windows\System32    访问权限：1048705

00:35:19[41]：(允许)读取文件：C:\Windows\System32\cmd.exe    访问权限：131072

00:35:19[42]：(允许)获取文件属性：C:\Windows\System32\cmd.exe

00:35:19[43]：(允许)获取文件属性：C:\Windows\System32\cmd.exe

00:35:19[44]：(允许)获取文件属性：C:\Windows\System32\cmd.exe:Zone.Identifier

00:35:19[45]：(阻止)创建进程：C:\Windows\System32\cmd.exe    命令行："C:\Windows\System32\cmd.exe" /c sc delete

00:35:19[46]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:20[47]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:21[48]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:22[49]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:23[50]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:24[51]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:25[52]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:26[53]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:27[54]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:28[55]：(安全环境)删除文件：c:\users\wang\desktop\file_safe\sxl252service.exe

00:35:29[56]：(阻止)删除注册表键：\

00:35:29[57]：(安全环境)删除文件：C:\Users\wang\Desktop\File_safe\config.ini

00:35:29[58]：(允许)创建注册表键：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

00:35:29[59]：(阻止)写注册表值：\Start Page

00:35:29[60]：(允许)写入文件：C:\Users\wang\AppData\Local\Temp\increase.ini

00:35:29[61]：(安全环境)查找文件目录：C:\Users\wang\Desktop\File_safe

00:35:29[62]：(允许)获取文件属性：C:\Users\wang\Desktop\File_safe\File_safe

00:35:29[63]：(允许)获取文件属性：C:\Windows\cmd.exe

00:35:29[64]：(允许)获取文件属性：C:\Windows\system32\cmd.exe

00:35:29[65]：(允许)读取文件：C:\    访问权限：1048705

00:35:29[66]：(允许)读取文件：C:\Windows    访问权限：1048705

00:35:29[67]：(允许)读取文件：C:\Windows\System32    访问权限：1048705

00:35:29[68]：(允许)读取文件：C:\Windows\System32\cmd.exe    访问权限：131072

00:35:29[69]：(允许)获取文件属性：C:\Windows\System32\cmd.exe

00:35:29[70]：(允许)获取文件属性：C:\Windows\System32\cmd.exe

00:35:29[71]：(允许)获取文件属性：C:\Windows\System32\cmd.exe:Zone.Identifier

00:35:29[72]：(阻止)创建进程：C:\Windows\System32\cmd.exe    命令行："C:\Windows\System32\cmd.exe" /c regini C:\Users\wang\AppData\Local\Temp\increase.ini

00:35:29[73]：(允许)删除文件：C:\Users\wang\AppData\Local\Temp\increase.ini

00:35:29[74]：(允许)创建注册表键：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

00:35:29[75]：(阻止)写注册表值：\Start Page

00:35:29[76]：(允许)创建注册表键：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

00:35:29[77]：(阻止)写注册表值：\First Home Page

00:35:29[78]：(允许)创建注册表键：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

00:35:29[79]：(阻止)写注册表值：\Default_Page_URL

00:35:29[80]：(允许)创建注册表键：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

00:35:29[81]：(阻止)写注册表值：\Start Page

00:35:29[82]：(允许)创建注册表键：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

00:35:29[83]：(阻止)写注册表值：\First Home Page

00:35:29[84]：(允许)创建注册表键：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

00:35:29[85]：(阻止)写注册表值：\Default_Page_URL

00:35:29[86]：(允许)创建注册表键：HKEY_LOCAL_MACHINE\Software\Wow6432Node\Internet Explorer\Main

00:35:29[87]：(阻止)写注册表值：\Start Page

00:35:29[88]：(允许)创建注册表键：HKEY_LOCAL_MACHINE\Software\Wow6432Node\Internet Explorer\Main

00:35:29[89]：(阻止)写注册表值：\First Home Page

00:35:29[90]：(允许)创建注册表键：HKEY_LOCAL_MACHINE\Software\Wow6432Node\Internet Explorer\Main

00:35:29[91]：(阻止)写注册表值：\Default_Page_URL

00:35:29[92]：(允许)写入文件：C:\Users\wang\AppData\Local\Temp\Icons.zip

00:35:29[93]：(允许)写入文件：C:\Users\wang\AppData\Local\Temp\Icons.zip[/mw_shl_code]

显示全部楼层 · 发表于 2017-7-12 00:42:13

学雷锋做人发表于 2017-7-12 00:38
关于SXL252tran.exe在File_Analysis里的运行日志
[mw_shl_code=css,true]00:35:18[1]：(允许)程序启 ...

谢谢雷锋大侠
我看不太懂哈

它的存在是跟我新做的那个启动U盘【叫u大师】有关系吗？

显示全部楼层 · 发表于 2017-7-12 00:53:08

mianning 发表于 2017-7-12 00:42
谢谢雷锋大侠
我看不太懂哈

具体怎么来的只有你自己清楚了，我在所释放的资源包里发现了这些，所以你懂的

显示全部楼层 · 发表于 2017-7-12 00:58:18

学雷锋做人发表于 2017-7-12 00:53
具体怎么来的只有你自己清楚了，我在所释放的资源包里发现了这些，所以你懂的

刚试了一下，开机马上去删除，【无法删除，已在另一程序中打开】
应该怎么杀掉？
另外请教雷锋大侠，求推荐一个好的pe系统，做u盘安装系统

显示全部楼层 · 发表于 2017-7-12 01:05:49

盡量使用原廠安裝映像安裝系統不要用什麼亂七八糟的Ghost 版

显示全部楼层 · 发表于 2017-7-12 01:09:15

900703 发表于 2017-7-12 01:05
盡量使用原廠安裝映像安裝系統不要用什麼亂七八糟的Ghost 版

镜像都是我自己装好系统以后做的，为的是恢复起来方便
唯一的问题就是做U盘启动盘

显示全部楼层 · 发表于 2017-7-12 01:12:26

学雷锋做人发表于 2017-7-12 00:53
具体怎么来的只有你自己清楚了，我在所释放的资源包里发现了这些，所以你懂的

这些图标说明了什么？
它有个app.dat包，那里有它要安装的文件

[病毒样本] 莫明其妙的病毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源