收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 请问这个东西是不是病毒?怎么杀?
返回列表 发新帖
查看: 1748|回复: 1
收起左侧

[可疑文件] 请问这个东西是不是病毒?怎么杀?

[复制链接]
arcania
发表于 2014-7-20 18:37:49 | 显示全部楼层 |阅读模式
本帖最后由 arcania 于 2014-7-20 19:29 编辑

每次开机启动都会运行。但不知道它的位置及删除方式。





我使用NOD扫描C盘没有异常,百度卫士扫描没有发现异常。

找到位置了在开始菜单启动里面,貌似是一个单文件程序,已在附加里面。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

伊川书院
发表于 2014-7-20 19:36:50 | 显示全部楼层
本帖最后由 伊川书院 于 2014-7-20 19:45 编辑

不建议把可激活的未知文件发到本区
建议:楼主修改本贴的附件,或发送到样本区
http://bbs.kafan.cn/thread-263653-1-1.html

补充:
基本信息

    文件名称:sys.exe
    MD5:7585ae235ecd8c9d3176c1948a927718
    Sha-1:313c5c554715fd04bddf26e4b7337ad09b8f4962
    文件大小:370KB
    创建时间:2014-06-15 14:13:18
    文件类型:EXE
    PEID信息:Nothing found *

火眼点评

      修改用户的浏览器主页,常被病毒利用来做推广;搜索指定窗口;查找文件;创建进程;添加开机自启动项;在其他进程中申请内存;检测自身是否被调试;注册为ActiveX控件,会随IE启动;遍历磁盘类型;隐藏指定窗口;其他注册表信息
危险行为监控

    行为描述:修改用户的浏览器主页,常被病毒利用来做推广
    附加信息:

    http://www.chn112.com/

其他行为监控

    行为描述:其他注册表信息
    附加信息:
    行为描述:隐藏指定窗口
    附加信息:

    AutoIt v3 : [sys.exe]
    行为描述:遍历磁盘类型
    附加信息:

    C:
    行为描述:注册为ActiveX控件,会随IE启动
    附加信息:

    "regsvr32 /u /s igfxpph.dll"
    行为描述:检测自身是否被调试
    附加信息:
    行为描述:在其他进程中申请内存
    附加信息:

    %system%\cmd.exe

    %system%\reg.exe

    %system%\regsvr32.exe
    行为描述:添加开机自启动项
    附加信息:

    [ctfmon.exe] - %system%\ctfmon.exe
    行为描述:创建进程
    附加信息:

    %system%\cmd.exe

    %system%\reg.exe

    %system%\regsvr32.exe
    行为描述:查找文件
    附加信息:

    "C:\Program Files"

    "%ProgramFiles%\reg"

    "%ProgramFiles%\reg.*"

    "%ProgramFiles%\regsvr32"

    "%ProgramFiles%\regsvr32.*"

    "%system%\reg.*"

    "%system%\reg.COM"

    "%system%\reg.EXE"

    "%system%\regsvr32.*"

    "%system%\regsvr32.COM"

    "%system%\regsvr32.EXE"
    行为描述:搜索指定窗口
    附加信息:

    ["Indicator" , ""]

进程操作监控

    创建进程:%system%\reg.exe
    启动参数:reg delete HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers /f
    创建进程:无
    启动参数:%system%\cmd.exe /c reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IgfxTray /f
    创建进程:无
    启动参数:%system%\cmd.exe /c reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v HotKeysCmds /f
    创建进程:无
    启动参数:%system%\cmd.exe /c reg add HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\new /ve /d {D969A300-E7FF-11d0-A93B-00A0C90F2719}
    创建进程:无
    启动参数:%system%\cmd.exe /c reg delete HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers /f
    创建进程:无
    启动参数:%system%\cmd.exe /c regsvr32 /u /s igfxpph.dll
    创建进程:无
    启动参数:%system%\cmd.exe /c reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
    创建进程:无
    启动参数:%system%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon.exe /d %system%\ctfmon.exe
    创建进程:无
    启动参数:%system%\cmd.exe /c reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /va /f
    创建进程:无
    启动参数:%system%\cmd.exe /c reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
    创建进程:%system%\reg.exe
    启动参数:reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
    创建进程:%system%\reg.exe
    启动参数:reg add HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\new /ve /d {D969A300-E7FF-11d0-A93B-00A0C90F2719}
    创建进程:%system%\reg.exe
    启动参数:reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /va /f
    创建进程:%system%\regsvr32.exe
    启动参数:regsvr32 /u /s igfxpph.dll
    创建进程:%system%\reg.exe
    启动参数:reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v HotKeysCmds /f
    创建进程:%system%\reg.exe
    启动参数:reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IgfxTray /f
    创建进程:%system%\reg.exe
    启动参数:reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon.exe /d %system%\ctfmon.exe
    创建进程:%system%\reg.exe
    启动参数:reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f

    新增
    删除
    修改

注册表监控

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    [Default_Page_URL] = [http://www.chn112.com/]
    [Start Page] = [http://www.chn112.com/]
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    [QQ2009] = ["%ProgramFiles%\Tencent\QQ\Bin\QQ.exe" /background]
    HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
    HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
    [MPProtect] = [0x00000001]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
    [Start Page] = [http://www.chn112.com/]
    [Default_Page_URL] = [http://www.chn112.com/]
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    [PHIME2002A] = [%system%\IME\TINTLGNT\TINTSETP.EXE /IMEName]
    [IMJPMIG8.1] = ["%windir%\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32]
    [PHIME2002ASync] = [%system%\IME\TINTLGNT\TINTSETP.EXE /SYNC]
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-18 04:03 , Processed in 0.137863 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表