楼主: ffdgdg
收起左侧

[可疑文件] 最近打印店里流行的病毒,所有插上过的U盘全被感染

  [复制链接]
pal家族
发表于 2016-6-10 10:08:00 | 显示全部楼层
杀软基本功
should be as easy as A、B,C
ELOHIM
发表于 2016-6-10 14:59:50 | 显示全部楼层
ffdgdg 发表于 2016-6-10 01:11
再问下各位,被病毒修改成“受保护的系统文件”形式的怎么改回正常文件?网上说的用attrib命令的方法貌似Wi ...

路径需要引用如果有空格或其他空白字符。
ELOHIM
发表于 2016-6-10 15:03:06 | 显示全部楼层
其中,SCEP解释为:Worm: VBS/Jenxcus.DN



详细技术信息如下:
https://www.microsoft.com/securi ... 22&enterprise=1

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +3 收起 理由
绯色鎏金 + 3 感谢解答: )

查看全部评分

qqddliu
发表于 2016-6-10 21:27:51 | 显示全部楼层
【1】2016-06-10 21:25:57,系统防护,自定义防护,Microsoft Excel.WsF触犯自定义注册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\Microsoft Excel.WsF
触犯规则:●星火●【注册表保护】〖风险设置〗 Winlogon注册表
操作类型:创建
操作注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-06-10 21:25:54,系统防护,自定义防护,Microsoft Excel.WsF触犯自定义注册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\Microsoft Excel.WsF
触犯规则:●星火●【注册表保护】〖高危、恶意设置〗服务提升权限
操作类型:创建
操作注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-06-10 21:25:52,系统防护,自定义防护,Microsoft Excel.WsF触犯自定义注册表防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\Microsoft Excel.WsF
触犯规则:●星火●【注册表保护】〖驱动及服务〗服务相关注册表 安装服务会修改此项
操作类型:创建
操作注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-06-10 21:25:49,系统防护,自定义防护,Microsoft Excel.WsF触犯自定义文件防护规则, 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\Microsoft Excel.WsF
触犯规则:●星火●【文件保护】〖常用目录〗桌面文件夹
操作类型:写入
操作文件:C:\Documents and Settings\Administrator\桌面\Microsoft Excel.WsF
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-06-10 21:25:45,系统防护,自定义防护,Microsoft Excel.WsF触犯 , 已阻止

操作进程:C:\Documents and Settings\Administrator\桌面\Microsoft Excel.WsF
触犯规则:●星火●【应用程序保护】〖风险程序〗
操作类型:执行
C:\WINDOWS\system32\wshom.ocx
用户操作:已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
天剑
发表于 2016-6-10 22:00:31 | 显示全部楼层
十几天都没跟新的eset秒杀
yep96
发表于 2016-6-11 00:03:14 | 显示全部楼层
其实那个attrib -s -h xxx完全可以先定位到目标文件夹里面,更方便些
jianfuyindidi
发表于 2016-6-11 21:34:11 | 显示全部楼层
mes监控拦截
轩夏
发表于 2016-6-12 10:03:00 | 显示全部楼层
微软

C:\Users\XuanXia\Desktop\Microsoft Excel\Microsoft Excel.WsF->[WsfCmtOut]->(SCRIPT0000)                         Infected: Worm:VBS/Jenxcus.DN [non_writable_container]
2631932363
发表于 2016-6-14 15:16:32 | 显示全部楼层
这样本也不嫌麻烦,采用单字符替换加密了三次, 才还原出真实代码。。。
zhuzao110
发表于 2016-6-14 20:53:26 | 显示全部楼层
去打印店,最好SD卡,因为有写保护,记得朗科也出过带写保护的U盘。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:00 , Processed in 0.085503 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表