收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 应该是内网一台机器上的U盘病毒
12
返回列表 发新帖
楼主: 萧逆水
 收起左侧

[可疑文件] 应该是内网一台机器上的U盘病毒

[复制链接]
a445441
发表于 2017-6-15 16:50:01 | 显示全部楼层
微点拦截
回复

举报

wuming_bpnes
发表于 2017-6-15 18:00:48 | 显示全部楼层
[mw_shl_code=css,true]10:55:52(1):(自动允许)程序启动:File_Analysis 行为记录成功开启

10:55:53(2):(自动允许)获取文件属性:C:\Users\user1\AppData\Roaming

10:55:53(3):(自动允许)读取文件:\\.\C:     访问权限:0

10:55:56(4):(自动允许)创建文件目录:C:\Users\user1

10:55:56(5):(自动允许)获取文件属性:C:\Users\user1

10:55:56(6):(自动允许)创建文件目录:C:\Users\user1\AppData\Roaming

10:55:56(7):(自动允许)获取文件属性:C:\Users\user1\AppData\Roaming

10:55:56(8):(自动允许)访问其他进程:328(进程PID)     进程句柄:588     获取权限:1146

10:55:56(9):(阻止)写入进程内存:588(进程句柄)

10:55:56(10):(自动允许)访问其他进程:420(进程PID)     进程句柄:588     获取权限:1146

10:55:56(11):(阻止)写入进程内存:588(进程句柄)

10:55:56(12):(自动允许)访问其他进程:476(进程PID)     进程句柄:588     获取权限:1146

10:55:56(13):(阻止)写入进程内存:588(进程句柄)

10:55:56(14):(自动允许)访问其他进程:488(进程PID)     进程句柄:588     获取权限:1146

10:55:56(15):(阻止)写入进程内存:588(进程句柄)

10:55:56(16):(自动允许)访问其他进程:544(进程PID)     进程句柄:588     获取权限:1146

10:55:56(17):(阻止)写入进程内存:588(进程句柄)

10:55:56(18):(自动允许)访问其他进程:576(进程PID)     进程句柄:588     获取权限:1146

10:55:56(19):(阻止)写入进程内存:588(进程句柄)

10:55:56(20):(自动允许)访问其他进程:620(进程PID)     进程句柄:588     获取权限:1146

10:55:56(21):(阻止)写入进程内存:588(进程句柄)

10:55:56(22):(自动允许)访问其他进程:716(进程PID)     进程句柄:588     获取权限:1146

10:55:56(23):(阻止)写入进程内存:588(进程句柄)

10:55:56(24):(自动允许)访问其他进程:788(进程PID)     进程句柄:588     获取权限:1146

10:55:56(25):(阻止)写入进程内存:588(进程句柄)

10:55:56(26):(自动允许)访问其他进程:840(进程PID)     进程句柄:588     获取权限:1146

10:55:56(27):(阻止)写入进程内存:588(进程句柄)

10:55:56(28):(自动允许)访问其他进程:928(进程PID)     进程句柄:588     获取权限:1146

10:55:56(29):(阻止)写入进程内存:588(进程句柄)

10:55:56(30):(自动允许)访问其他进程:980(进程PID)     进程句柄:588     获取权限:1146

10:55:56(31):(阻止)写入进程内存:588(进程句柄)

10:55:56(32):(自动允许)访问其他进程:1012(进程PID)     进程句柄:588     获取权限:1146

10:55:56(33):(阻止)写入进程内存:588(进程句柄)

10:55:56(34):(自动允许)访问其他进程:1144(进程PID)     进程句柄:588     获取权限:1146

10:55:56(35):(阻止)写入进程内存:588(进程句柄)

10:55:56(36):(自动允许)访问其他进程:1284(进程PID)     进程句柄:588     获取权限:1146

10:55:56(37):(阻止)写入进程内存:588(进程句柄)

10:55:56(38):(自动允许)访问其他进程:1392(进程PID)     进程句柄:588     获取权限:1146

10:55:56(39):(阻止)写入进程内存:588(进程句柄)

10:55:56(40):(自动允许)访问其他进程:1436(进程PID)     进程句柄:588     获取权限:1146

10:55:56(41):(阻止)写入进程内存:588(进程句柄)

10:55:56(42):(自动允许)访问其他进程:1592(进程PID)     进程句柄:588     获取权限:1146

10:55:56(43):(自动允许)访问其他进程:1676(进程PID)     进程句柄:588     获取权限:1146

10:55:56(44):(阻止)写入进程内存:588(进程句柄)

10:55:56(45):(自动允许)访问其他进程:1724(进程PID)     进程句柄:588     获取权限:1146

10:55:56(46):(阻止)写入进程内存:588(进程句柄)

10:55:56(47):(自动允许)访问其他进程:2148(进程PID)     进程句柄:588     获取权限:1146

10:55:56(48):(阻止)写入进程内存:588(进程句柄)

10:55:56(49):(自动允许)访问其他进程:2176(进程PID)     进程句柄:588     获取权限:1146

10:55:56(50):(阻止)写入进程内存:588(进程句柄)

10:55:56(51):(自动允许)访问其他进程:2240(进程PID)     进程句柄:588     获取权限:1146

10:55:56(52):(阻止)写入进程内存:588(进程句柄)

10:55:56(53):(自动允许)访问其他进程:2408(进程PID)     进程句柄:588     获取权限:1146

10:55:56(54):(自动允许)访问其他进程:2628(进程PID)     进程句柄:588     获取权限:1146

10:55:56(55):(阻止)写入进程内存:588(进程句柄)

10:55:56(56):(自动允许)访问其他进程:2904(进程PID)     进程句柄:588     获取权限:1146

10:55:56(57):(阻止)写入进程内存:588(进程句柄)

10:55:56(58):(自动允许)访问其他进程:2956(进程PID)     进程句柄:588     获取权限:1146

10:55:56(59):(阻止)写入进程内存:588(进程句柄)

10:55:56(60):(自动允许)访问其他进程:3068(进程PID)     进程句柄:588     获取权限:1146

10:55:56(61):(阻止)写入进程内存:588(进程句柄)

10:55:56(62):(自动允许)访问其他进程:3412(进程PID)     进程句柄:588     获取权限:1146

10:55:56(63):(阻止)写入进程内存:588(进程句柄)

10:55:56(64):(自动允许)访问其他进程:3688(进程PID)     进程句柄:588     获取权限:1146

10:55:56(65):(阻止)写入进程内存:588(进程句柄)

10:55:56(66):(自动允许)访问其他进程:3928(进程PID)     进程句柄:588     获取权限:1146

10:55:56(67):(阻止)写入进程内存:588(进程句柄)

10:55:56(68):(自动允许)访问其他进程:4072(进程PID)     进程句柄:588     获取权限:1146

10:55:56(69):(阻止)写入进程内存:588(进程句柄)

10:55:56(70):(自动允许)访问其他进程:3644(进程PID)     进程句柄:588     获取权限:1146

10:55:56(71):(阻止)写入进程内存:588(进程句柄)

10:55:56(72):(自动允许)访问其他进程:2388(进程PID)     进程句柄:588     获取权限:1146

10:55:56(73):(阻止)写入进程内存:588(进程句柄)

10:55:56(74):(自动允许)访问其他进程:1292(进程PID)     进程句柄:588     获取权限:1146

10:55:56(75):(阻止)写入进程内存:588(进程句柄)

10:55:56(76):(自动允许)访问其他进程:2324(进程PID)     进程句柄:588     获取权限:1146

10:55:56(77):(自动允许)访问其他进程:3804(进程PID)     进程句柄:588     获取权限:1146

10:55:56(78):(阻止)写入进程内存:588(进程句柄)

10:55:56(79):(自动允许)访问其他进程:3628(进程PID)     进程句柄:588     获取权限:1146

10:55:56(80):(阻止)写入进程内存:588(进程句柄)

10:55:56(81):(自动允许)访问其他进程:2380(进程PID)     进程句柄:588     获取权限:1146

10:55:56(82):(阻止)写入进程内存:588(进程句柄)

10:55:56(83):(阻止)写入进程内存:588(进程句柄)

10:55:56(84):(自动允许)访问其他进程:2844(进程PID)     进程句柄:588     获取权限:1146

10:55:56(85):(阻止)写入进程内存:588(进程句柄)

10:55:56(86):(自动允许)程序退出:File_Analysis 行为记录到此为止

[/mw_shl_code]
来自File_Analysis


评分

参与人数 1人气 +1 收起 理由
萧逆水 + 1 感谢解答惹

查看全部评分

回复

举报

UBitch
发表于 2017-6-15 19:26:40 | 显示全部楼层
WD Kill:Worm:Win32/Dorkbot
回复

举报

你看我头像
发表于 2017-6-15 22:53:57 | 显示全部楼层
NIS解压后等了一小会没反应,手动右键扫描杀掉:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

gtc
发表于 2017-6-16 13:40:35 | 显示全部楼层
好多年的老病毒了,内网比较流行,应该是内网共享和U盘均能传播,清除起来比较麻烦,因为要内网里的机器全部断网清除,以前单位电脑中过,ESET那货就没有搞定过,最后是用微点和红伞搞定的。

评分

参与人数 1人气 +1 收起 理由
萧逆水 + 1 感谢解答噜

查看全部评分

回复

举报

sadfish5
发表于 2017-6-17 01:36:02 | 显示全部楼层
a445441 发表于 2017-6-15 16:50
微点拦截

你每次都喊微点拦截,然而每次都没有图~~
回复

举报

缉毒新英雄
发表于 2017-6-17 07:48:46 | 显示全部楼层
Kaspeisky Miss
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-5 10:46 , Processed in 0.092945 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表