再次update！依然是那个不定时死灰复燃的奇怪驱动……

显示全部楼层 · 发表于 2015-11-3 09:05:23

zhou0197 发表于 2015-11-3 08:47
目前溯源难度很大……导致这个驱动出现的原因至今还是不明确……甚至连驱动的文件也只能从内存dump出来 ...

然而没有源头的话，现在大部分的分析实际上都有YY的成分。

显示全部楼层 · 发表于 2015-11-3 09:06:04

pal家族发表于 2015-11-3 09:04
次次上报，然后给你象征性入库下
not a virus ADware......
没啥用，找不到母体，不过NPE可以试试，就 ...

这一代的NPE误报相比以前应该下降了很多很多。

显示全部楼层 · 发表于 2015-11-3 09:07:10

尘梦幽然发表于 2015-11-3 09:06
这一代的NPE误报相比以前应该下降了很多很多。

不过我还是作死试过，确实只误报了四五个。。。

显示全部楼层 · 发表于 2015-11-3 09:07:43

驭龙发表于 2015-11-3 09:00
把这随机文件发上来，看看

就是这个了：

显示全部楼层 · 发表于 2015-11-3 09:09:17

尘梦幽然发表于 2015-11-3 09:01
要不你试试这变态家伙：https://security.symantec.com/nbrt/npe.aspx

记得开启rootkits扫描...

那会儿不知道咋开rootkits扫描，高级直接开了扫描没发现啥玩意儿……

显示全部楼层 · 发表于 2015-11-3 09:15:56

zhou0197 发表于 2015-11-3 09:09
那会儿不知道咋开rootkits扫描，高级直接开了扫描没发现啥玩意儿……

默认的首次扫描应该是需要重启电脑的，你当时有按提示重启吗？

这里的扫描风险一般来说就是一个快速扫描。
你也可以执行不需要的程序扫描，或者在高级扫描选项中执行系统扫描，这样可能会更全面一些。

另外就是在扫描前建议排除掉一些可能和诺顿驱动有隐性冲突的软件。

大概如此。

显示全部楼层 · 发表于 2015-11-3 09:17:20

本帖最后由驭龙于 2015-11-3 09:22 编辑

zhou0197 发表于 2015-11-3 09:07
就是这个了：

这东西会连接www.1977game.com，但没发现具有创建驱动的Pack，所以我猜测可能不是这个文件创建的驱动，当然不排除是它下载的驱动，但可能性不大

显示全部楼层 · 发表于 2015-11-3 09:18:20

尘梦幽然发表于 2015-11-3 09:15
默认的首次扫描应该是需要重启电脑的，你当时有按提示重启吗？

rootkit那个是设置里面的包括rootkit扫描吗？如果是的话，当时开了。

求助者的电脑那个时候就是上的系统扫描…………好像就找到了某个卸载程序，以及一个人家好几年前用过的种子搜索器（娃哈哈）什么的……

显示全部楼层 · 发表于 2015-11-3 09:24:30

驭龙发表于 2015-11-3 09:17
这东西会连接www.1977game.com，但没发现具有创建驱动的Pack，所以我猜测可能不是这个文件创建的驱动，当 ...

因为之前求助者那边用的遨游2，版本太老，一度怀疑过网页恶意代码创建的exe，后来更换chromium一系的浏览器，问题似乎依然存在…………推测和这个关系不大，而且众多受害者使用的浏览器种类都不一样……

http://tieba.baidu.com/p/4133948629

显示全部楼层 · 发表于 2015-11-3 09:26:45

zhou0197 发表于 2015-11-3 09:24
因为之前求助者那边用的遨游2，版本太老，一度怀疑过网页恶意代码创建的exe，后来更换chromium一系的浏览 ...

看上去这文件是一个任务计划，是不是这些感染者都安装过一款游戏软件或者平台？

[病毒样本] 再次update！依然是那个不定时死灰复燃的奇怪驱动……