pchunter 检查出 spxq.sys 是什么东西？又发生变化了变成 sprm.sys，是不病毒？

显示全部楼层 · 发表于 2015-10-23 20:36:04

移动盘发表于 2015-10-23 20:34
卸载 DT后重启，再装了一次，再卸载重启，spxx.sys还在，还发现2个可疑对象

那真的没辙了，因为应该是残余，我在六七年前就不用DT了

显示全部楼层 · 发表于 2015-10-23 20:36:31

驱动文件最好不要乱动，否则系统挂了就不好玩了，呵呵。

显示全部楼层 · 发表于 2015-10-23 20:56:08

驭龙发表于 2015-10-23 20:36
那真的没辙了，因为应该是残余，我在六七年前就不用DT了

又检查到一些新的信息，请帮看看

显示全部楼层 · 发表于 2015-10-23 20:57:48

君陌潇发表于 2015-10-23 20:14
重启是没用的。我还不是有驱动残骸。但文件已经在文件夹内不存在

又检查到一些新的信息，请帮看看

显示全部楼层 · 发表于 2015-10-23 21:01:19

驭龙发表于 2015-10-23 20:36
那真的没辙了，因为应该是残余，我在六七年前就不用DT了

有几个可疑文件用pchunter 从内存Dump 出来了。

显示全部楼层 · 发表于 2015-10-23 21:01:38

君陌潇发表于 2015-10-23 20:14
重启是没用的。我还不是有驱动残骸。但文件已经在文件夹内不存在

有几个可疑文件用pchunter 从内存Dump 出来了。

显示全部楼层 · 发表于 2015-10-23 21:11:37

驭龙发表于 2015-10-23 20:36
那真的没辙了，因为应该是残余，我在六七年前就不用DT了

请问现在不用DT 用什么虚拟光驱？

显示全部楼层 · 发表于 2015-10-23 21:16:43

本帖最后由君陌潇于 2015-10-23 21:18 编辑

SHA256: f38347a7a7a323fd0caf9425ddd9c76a8b6c500d6e2d7b0057d5ee8c14b362e3
File name: 11878809C.sys
Detection ratio: 1 / 55
Analysis date: 2015-10-23 13:11:45 UTC ( 2 minutes ago )

Rising  PE:Malware.RDM.23!5.1D[F1]  20151022
ALYac 20151023
AVG 20151023
AVware 20151023
Ad-Aware 20151023
AegisLab 20151023
Agnitum 20151023
AhnLab-V3 20151023
Alibaba 20151023
Antiy-AVL 20151023
Arcabit 20151023
Avast 20151023
Avira 20151023
Baidu-International 20151023
BitDefender 20151023
Bkav 20151022
ByteHero 20151023
CAT-QuickHeal 20151023
CMC 20151021
ClamAV 20151023
Comodo 20151023
Cyren 20151023
DrWeb 20151023
ESET-NOD32 20151023
Emsisoft 20151023
F-Prot 20151023
F-Secure 20151023
Fortinet 20151023
GData 20151023
Ikarus 20151023
Jiangmin 20151023
K7AntiVirus 20151023
K7GW 20151023
Kaspersky 20151023
Malwarebytes 20151023
McAfee 20151023
McAfee-GW-Edition 20151023
MicroWorld-eScan 20151023
Microsoft 20151023
NANO-Antivirus 20151023
Panda 20151022
Qihoo-360 20151023
SUPERAntiSpyware 20151023
Sophos 20151023
Symantec 20151022
Tencent 20151023
TheHacker 20151020
TrendMicro 20151023
TrendMicro-HouseCall 20151023
VBA32 20151022
VIPRE 20151023
ViRobot 20151023
Zillya 20151023
Zoner 20151023
nProtect 20151023

The file being studied is a Portable Executable file! More specifically, it is a Win32 EXE file for the Native subsystem.

PE header basic information

Target machine Intel 386 or later processors and compatible processors

Compilation timestamp 2014-01-14 09:15:27

Link date 10:15 AM 1/14/2014

Entry Point 0x0000612C

Number of sections 7

PE sections

Name Virtual address Virtual size Raw size Entropy MD5

.text  4096 956 1024 0.00  0f343b0931126a20f133d67c2b018a3b

.rdata  8192 556 1024 0.00  0f343b0931126a20f133d67c2b018a3b

.data  12288 108 512 0.00  bf619eac0cdf3f68d496ea9344137e8b

PAGE  16384 5774 6144 2.00  c153736efed79f0ba7849f09a435c7d1

INIT  24576 1686 2048 0.00  c99a74c555371a433d121f551d6c6398

.rsrc  28672 1048 1536 0.47  18bc0f626ffff92999caf8a33cef261a

.reloc  32768 678 1024 0.00  0f343b0931126a20f133d67c2b018a3b

Overlays

MD5 ea162bdaa52f8706b0e4175121ffb7a4

File type data

Offset 14336

Size 22528

Entropy 2.56

Debug information

Type Timestamp Offset Size

IMAGE_DEBUG_TYPE_UNKNOWN (0)  Thu Jan 01 00:00:00 1970 0 0 Bytes

IMAGE_DEBUG_TYPE_UNKNOWN (0)  Thu Jan 01 00:00:00 1970 0 0 Bytes

ExifTool file metadata

MIMEType

application/octet-stream

Subsystem

Native

MachineType

Intel 386 or later, and compatibles

FileTypeExtension

exe

TimeStamp

2014:01:14 10:15:27+01:00

FileType

Win32 EXE

PEType

PE32

CodeSize

9216

LinkerVersion

11.0

EntryPoint

0x612c

InitializedDataSize

4096

SubsystemVersion

6.0

ImageVersion

6.2

OSVersion

6.2

UninitializedDataSize

https://www.virustotal.com/en/fi ... nalysis/1445605905/

显示全部楼层 · 发表于 2015-10-23 21:18:41

楼主好像是虚拟机。

显示全部楼层 · 发表于 2015-10-23 21:21:01

ELOHIM 发表于 2015-10-23 21:18
楼主好像是虚拟机。

不是虚拟机里的系统

[求助] pchunter 检查出 spxq.sys 是什么东西？又发生变化了变成 sprm.sys，是不病毒？

本帖子中包含更多资源

本帖子中包含更多资源

[求助] pchunter 检查出 spxq.sys 是什么东西？ 又发生变化了 变成 sprm.sys，是不病毒？

本帖子中包含更多资源

本帖子中包含更多资源

[求助] pchunter 检查出 spxq.sys 是什么东西？又发生变化了变成 sprm.sys，是不病毒？