毒包已经贴出，我现在都有点怀疑我是否神经过敏，就是找不到

显示全部楼层 · 发表于 2017-3-22 20:28:56

本帖最后由菜鸟一个0 于 2017-3-24 22:26 编辑

没注意看数字签名，整个包的都不是原版，现在中毒了，原本是使用卡巴斯基安全软件，昨天转为free，，卡巴无提示，换诺顿后直接被注入挂了，360成了最后一道防线，不过看到被那么多线程注入估计也挺不了多久了，NPE，大蜘蛛，卡巴，诺顿，360急救箱均无法检测到，pch无法加载驱动，PT成功一次，看到了一大串红色注入，驱动文件未见异常，但是看见此病毒驱动文件不存在，可以说，此病毒不在硬盘上，而在内存中。  这病毒反PCH，改名使用就没问题，pch提示可疑驱动对象，卸载一样蓝屏。

时间操作说明次数
  2017-03-22 20:18:05    [已阻止]    发现恶意网络访问    防护 1 次
详细描述：
威胁类型：连接远程网络
IP Port：111.206.79.22:53

进程：H:\软件\360Chrome\Chrome\Application\360chrome.exe
时间操作说明次数
  2017-03-22 20:18:05    [已清除]    发现木马：Trojan.Generic    防护 1 次
详细描述：
木马名称：Trojan.Generic
所在路径：H:\软件\ADOBE CAPTIVATE 9 X64\ADOBECAPTIVATE.EXE
时间操作说明次数
2017-03-22 22:30:56    [已阻止]    修改默认浏览器    防护 1 次
详细描述：
注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.HTM\USERCHOICE\[Hash]
注册表内容：joXZqjJDZPQ=
进程：C:\Windows\explorer.exe
父进程： , (97)
我已经确定我中毒了！！

情况更新，explorer修改默认浏览器的诡异行为在不定时出现，最近的一次被360阻止后，explorer无限自动崩溃重启，强行断电后重新启动后不在发生。以下是最新记录：

时间操作说明次数
  2017-03-24 18:44:29    [已阻止]    修改默认浏览器    防护 1 次
详细描述：
注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\SHELL\ASSOCIATIONS\URLASSOCIATIONS\HTTP\USERCHOICE\[Hash]
注册表内容：HqxTsrvXd1U=
进程：C:\Windows\explorer.exe
父进程：C:\WINDOWS\System32\winlogon.exe , (97)

最新情况，仍然开机改默认浏览器，进程仍是资源管理器，360急救箱+蜘蛛+TDSSkiller安全模式下也无法发现该病毒。BD也未发现威胁，PCH仍然提示可疑驱动对象

时间操作说明次数
  2017-03-23 23:57:03    [已阻止]    修改默认浏览器    防护 1 次
详细描述：
注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.HTML\USERCHOICE\[Hash]
注册表内容：kKP7lNLTXcE=
进程：C:\Windows\explorer.exe
父进程：C:\WINDOWS\System32\winlogon.exe , (97)
时间操作说明次数
  2017-03-24 08:57:58    [已阻止]    修改默认浏览器    防护 1 次
详细描述：
注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.HTM\USERCHOICE\[Hash]
注册表内容：1p+alYNshMo=
进程：C:\Windows\explorer.exe
父进程： , (97)

找到下载地址，整个包https://pan.baidu.com/s/1dFoMkrJ    解压密码：www.isharepc.com 现在发现作者加了分享密码，我稍后分享本地文件

分享链接  http://pan.baidu.com/s/1kUU2yft

刚刚用pt快速地找到了驱动，dump出来了，但我动不了它，一弄就蓝屏（该驱动已被急救箱工作人员确认为VM驱动，病毒驱动仍未找到）

显示全部楼层 · 发表于 2017-3-23 21:20:08

本帖最后由 windows7爱好者于 2017-3-23 21:21 编辑

https://yqall01.baidupcs.com/fil ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=630522791&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1974&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&hps=1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   https://nj02all02.baidupcs.com/f ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=621531256&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1970&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&hps=1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   https://nj01ct02.baidupcs.com/fi ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=555816334&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1964&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&hps=1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   https://allall01.baidupcs.com/fi ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=597445052&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1979&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&hps=1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   https://allall02.baidupcs.com/fi ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=501167674&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1980&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&hps=1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   http://yqall01.baidupcs.com/file ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=210176529&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1913&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   http://nj02all02.baidupcs.com/fi ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=861205875&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,199&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   http://nj01ct02.baidupcs.com/fil ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=167144479&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,193&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   http://allall01.baidupcs.com/fil ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=216295771&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1918&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis

   http://allall02.baidupcs.com/fil ... sta_mt=0&fm2=MH,Yangquan,Netizen-anywhere,,beijingct&newver=1&newfm=1&secfm=1&flow_ver=3&pkey=00006a103858515e0271ff14f684113cf5ae&expires=8h&rt=pr&r=192381614&mlogid=1899150970904088151&vuk=3145705519&vbdid=1208332499&fin=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&fn=Adobe+Captivate+9%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87%E7%89%88.7z&bflag=74,70,64,79,80,13,9,3,18,1919&check_blue=1&rtype=1&iv=2&dp-logid=1899150971038305879&dp-callid=0.1.1&csl=0&csign=ysqgRew8vsK8%2FF6b76fRlEIGY8Q%3D&by=themis
以上是百度云不限速链接，想测试的可以从这里下载样本

显示全部楼层 · 发表于 2017-3-22 20:51:19

两个文件的数字签名一致，这是Adobe官方的???

入沙运行失败。。。。
提示计算机丢失CPPublic.dll

显示全部楼层 · 发表于 2017-3-22 20:52:49

管家、猎豹扫描miss

显示全部楼层 · 发表于 2017-3-22 20:53:19

ericdj 发表于 2017-3-22 20:51
两个文件的数字签名一致，这是Adobe官方的???

入沙运行失败。。。。

从某网盘下载的，没说是破解版，我以为是官方的，就拿来直接用了，用的时候也没发现异常。需要我发整个包上来么T.T

显示全部楼层 · 发表于 2017-3-22 21:06:09

本帖最后由 DF快递于 2017-3-23 15:34 编辑

ess miss

显示全部楼层 · 发表于 2017-3-23 07:49:55

基本上所有杀毒软件都无法查杀，卡巴斯基文件顾问发现此文件在7个月前，可见此病毒使用分散式方法藏匿于adobe文件中，规避杀毒软件入库和查杀，可见精密性，而且，所有驱动文件不存在，不在硬盘里而在RAM内释放文件，大部分杀软就跪了，线程注入让许多杀软界面和功能异常，npe，Norton，kaspersky，大蜘蛛无法发现病毒，并且出现了功能异常，360是唯一能够继续阻止恶意行为的，但是无法检查出。powertool成功启动，但是自身却被大量线程注入，并且无法结束，希望各位好好研究一下这种类型的病毒，实在隐藏的很深。，，其

显示全部楼层 · 发表于 2017-3-23 07:50:13

本帖最后由菜鸟一个0 于 2017-3-23 21:36 编辑

二连了

显示全部楼层 · 发表于 2017-3-23 07:50:29

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2017-3-23 07:50:53

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2017-3-23 07:51:35

手机三联了，麻烦删除一下

New_Start. 头像被屏蔽	楼主\| 发表于 2017-3-23 07:50:29 来自手机 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
New_Start. 头像被屏蔽
	回复举报

New_Start. 头像被屏蔽	楼主\| 发表于 2017-3-23 07:50:53 来自手机 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
New_Start. 头像被屏蔽
	回复举报

[病毒样本] 毒包已经贴出，我现在都有点怀疑我是否神经过敏，就是找不到

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源