正统的Rootkits病毒，JM.SYS驱动很危险

EnZhSTReLniKoVa

驭龙 发表于 2015-11-11 15:25
你看26楼的WD 4.9也双杀的呀，难道是因为你是X64系统？

放到桌面 解压   就有了

但在D盘 病毒样本 文件夹内  就没有- -

驭龙

君陌潇 发表于 2015-11-11 15:25
可能吧 刚才更新下  断网查杀 还是一样结果。。

可理论上是64位引擎应该能识别32位的威胁啊，这个奇怪，看看其他用MA的64位系统用户有什么结果吧

驭龙

君陌潇 发表于 2015-11-11 15:32
放到桌面 解压   就有了

但在D盘 病毒样本 文件夹内  就没有- -

不会啊，我解压的是E盘，还是直接杀的，可能你的WD不正常

EnZhSTReLniKoVa

驭龙 发表于 2015-11-11 15:36
不会啊，我解压的是E盘，还是直接杀的，可能你的WD不正常

我把SSF 退出也是这样- -    在桌面解压报2个    文件夹内报1个- -

驭龙

君陌潇 发表于 2015-11-11 15:37
我把SSF 退出也是这样- -    在桌面解压报2个    文件夹内报1个- -

目测是SSF导致WD不正常，你把SSF卸载，重启win 以后，在D盘解压看看

1518589226

C:\Users\One\Desktop\Rootkits.exe;C:\Users\One\Desktop\Rootkits.exe;Worm.Win32.Fujack.el
http://habo.qq.com/file/showdetail?pk=ADQGZl1sB2EIMVs7
关键行为
[mw_shl_code=html,true]行为描述：        修改原系统的EXE文件
详情信息：       
C:\222c25ed\IE8-Setup-Full\installservices.exe---> Offset = 65536
C:\222c25ed\IE8-Setup-Full\installservices.exe---> Offset = 75668
C:\222c25ed\IE8-Setup-Full\installservices.exe---> Offset = 81415
C:\install.exe---> Offset = 65536
C:\install.exe---> Offset = 75668
C:\install.exe---> Offset = 81415
C:\Program Files\Adobe\Reader 9.0\Reader\A3DUtility.exe---> Offset = 65536
C:\Program Files\Adobe\Reader 9.0\Reader\A3DUtility.exe---> Offset = 75668
C:\Program Files\Adobe\Reader 9.0\Reader\A3DUtility.exe---> Offset = 81415
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe---> Offset = 65536
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe---> Offset = 75668
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe---> Offset = 81415
C:\Program Files\Adobe\Reader 9.0\Reader\AdobeCollabSync.exe---> Offset = 65536
C:\Program Files\Adobe\Reader 9.0\Reader\AdobeCollabSync.exe---> Offset = 75668
C:\Program Files\Adobe\Reader 9.0\Reader\AdobeCollabSync.exe---> Offset = 81415
行为描述：        探测 Virtual PC是否存在
详情信息：       
N/A
行为描述：        修改注册表_镜像劫持
详情信息：       
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DrvAnti.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\knownsvr.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SetupLD.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwproxy.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\修复工具.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\frwstub.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe\Debugger
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccenter.exe\Debugger
行为描述：        杀掉进程
详情信息：       
C:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
行为描述：        获取TickCount值
详情信息：       
TickCount = 491532, SleepMilliseconds = 1.
行为描述：        设置特殊文件夹属性
详情信息：       
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds Cache
C:\Documents and Settings\Administrator\IECompatCache
行为描述：        修改注册表_启动项
详情信息：       
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
[/mw_shl_code]

EnZhSTReLniKoVa

驭龙 发表于 2015-11-11 15:39
目测是SSF导致WD不正常，你把SSF卸载，重启win 以后，在D盘解压看看

并不是SSF导致的。  卸载SSF还是一样

EnZhSTReLniKoVa

桌面解压 更你一样- -

pal家族

几乎所有杀软报的都是fujack。。
趋势也是的。。有的报viking。。。
https://virusscan.jotti.org/zh-CN/filescanjob/c6ie36d3in

EnZhSTReLniKoVa

pal家族 发表于 2015-11-11 15:54
几乎所有杀软报的都是fujack。。
趋势也是的。。有的报viking。。。
https://virusscan.jotti.org/zh-CN/ ...

WD 在64位和32位 下 可能有差别。