搜索
查看: 4258|回复: 47
收起左侧

[可疑文件] 这个东西总是出现在用过学校电脑的老师的U盘里

  [复制链接]
janie
发表于 2017-9-14 20:54:56 | 显示全部楼层 |阅读模式
我是一个电教员,最近在学校里发现了这个骚东西
只要有老师在电脑上使用U盘,这个东西就会隐藏U盘根目录下的所有文件夹,并将自己复制进根目录
自己改名为文件夹的名字
还使用了XP系统的文件夹图标
还生成了autorun.inf来实现自启动
不过。。。
自从我将学校的电脑换成Windows7之后,这个病毒便更容易被发现了。。。
这东西的图标还是XP的。。。好显眼。。。
这个看起来像是U盘蠕虫啊,求大神们看看!
https://pan.lanzou.com/1671132

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
janie
 楼主| 发表于 2017-9-14 20:57:11 | 显示全部楼层
腾讯直接查杀,360提示可疑,微点kill
dongwenqi
发表于 2017-9-14 20:59:37 | 显示全部楼层
卡巴云拉黑,杀
janie
 楼主| 发表于 2017-9-14 21:02:52 | 显示全部楼层
我其实是想问,总共(3+6)*5=45个班都有这个病毒,我该怎么办。。。
crazythor
发表于 2017-9-14 21:15:36 | 显示全部楼层
如果你们老师用的是自己的电脑的话,推荐他装USBKiller之类的U盘杀软。如果用的是教室里的台式机的话,就推荐你们的电脑老师去给每一台电脑都装影子系统。我们学校的电脑就是这么干的
191196846
发表于 2017-9-14 21:24:40 | 显示全部楼层
本帖最后由 191196846 于 2017-9-14 21:28 编辑

360TSE DOUBLE KILL


可以用火绒啊... 本地毒库 + 自己简单设点HIPS

360TSE 也是可以的, 有两个OEM(BD +AVRIA)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2017-9-14 22:03:06 | 显示全部楼层
本帖最后由 左手 于 2017-9-14 22:08 编辑

2017-9-14 22:05:53    创建新进程 危险等级:未知    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: c:\windows\explorer.exe
命令行: explorer C:\Documents and Settings\Administrator\桌面\
规则: [应用程序组]a100_《非可执行》>f300

2017-9-14 22:05:59    修改文件 危险等级:敏感    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: C:\WINDOWS\system32\F97F1B\97A93D.EXE
规则: [应用程序]?:\*\*\*\* -> [文件组]{③中防御模式}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.exe

2017-9-14 22:06:02    创建新进程 危险等级:未知    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: c:\windows\system32\f97f1b\97a93d.exe
命令行: C:\WINDOWS\system32\F97F1B\97A93D.EXE
规则: [应用程序组]a100_《非可执行》>f300

2017-9-14 22:06:02    加载动态链接库 危险等级:中    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: c:\documents and settings\administrator\local settings\temp\e_n4\htmlview.fne
规则: [应用程序]c:\windows\* -> [动态链接库]*\temp\*.*

2017-9-14 22:06:21    设置文件夹隐藏属性 危险等级:敏感    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: C:\WINDOWS\system32\523DD8
规则: [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]?:\*

2017-9-14 22:06:21    设置文件夹隐藏属性 危险等级:敏感    阻止
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: C:\WINDOWS\system32\2F43A4
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\*

2017-9-14 22:06:23    创建新进程 危险等级:未知    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: c:\windows\explorer.exe
命令行: explorer C:\Documents and Settings\Administrator\桌面\
规则: [应用程序组]a100_《非可执行》>f300

2017-9-14 22:06:28    修改文件 危险等级:敏感    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: C:\WINDOWS\system32\F97F1B\97A93D.EXE
规则: [应用程序]?:\*\*\*\* -> [文件组]{③中防御模式}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.exe

2017-9-14 22:06:31    创建新进程 危险等级:未知    允许
进程: c:\documents and settings\administrator\桌面\recycle.exe
目标: c:\windows\system32\f97f1b\97a93d.exe
命令行: C:\WINDOWS\system32\F97F1B\97A93D.EXE
规则: [应用程序组]a100_《非可执行》>f300

2017-9-14 22:06:35    加载动态链接库 危险等级:中    允许
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: c:\documents and settings\administrator\local settings\temp\e_n4\htmlview.fne
规则: [应用程序]c:\windows\* -> [动态链接库]*\temp\*.*

2017-9-14 22:06:41    加载动态链接库 危险等级:中    允许
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: c:\documents and settings\administrator\local settings\temp\e_n4\shell.fne
规则: [应用程序]c:\windows\* -> [动态链接库]*\temp\*.*

2017-9-14 22:06:44    加载动态链接库 危险等级:中    允许
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: c:\documents and settings\administrator\local settings\temp\e_n4\dp1.fne
规则: [应用程序]c:\windows\* -> [动态链接库]*\temp\*.*

2017-9-14 22:06:44    设置文件夹隐藏属性 危险等级:敏感    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: C:\WINDOWS\system32\2F43A4
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]?:\*

2017-9-14 22:06:55    创建文件 危险等级:低    允许
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: C:\WINDOWS\system32\9FC078\cnvpe.fne
规则: [应用程序]c:\windows\* -> [文件组]{③中防御模式}f1003_②启用《写入windows文件》 -> [文件]c:\windows\*

2017-9-14 22:07:02    加载动态链接库 危险等级:中    允许
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: c:\documents and settings\administrator\local settings\temp\e_n4\eapi.fne
规则: [应用程序]c:\windows\* -> [动态链接库]*\temp\*.*

2017-9-14 22:07:02    修改注册表值 危险等级:敏感    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
值: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017-9-14 22:07:02    修改注册表值 危险等级:敏感    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017-9-14 22:07:02    修改注册表值 危险等级:敏感    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017-9-14 22:07:02    修改注册表值 危险等级:敏感    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017-9-14 22:07:02    修改注册表值 危险等级:敏感    阻止
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [注册表组]阻止_优先黑名单

2017-9-14 22:07:02    创建文件 危险等级:低    阻止并结束进程
进程: c:\windows\system32\f97f1b\97a93d.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\97A93D.lnk
规则: [应用程序]?* -> [文件]?:\documents and settings\*\程序\启动\*

前面好像是随机创建文件夹到32里面。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ziyerain2015
发表于 2017-9-14 22:16:57 | 显示全部楼层
只装了360杀毒双击修复了2个

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
2221000789
发表于 2017-9-14 22:24:02 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
和泉纱雾
发表于 2017-9-14 22:36:11 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-12-12 03:03 , Processed in 0.059153 second(s), 4 queries , MemCached On.

快速回复 返回顶部 返回列表