搜索
查看: 7845|回复: 74
收起左侧

[病毒样本] ●●●●单位新感染的病毒大家都查查●●●●

  [复制链接]
maomaojk
发表于 2018-2-7 10:50:19 | 显示全部楼层 |阅读模式
    单位周六开始有电脑感染此病毒,并且大量传播,现在已经有三十多台中招了! 公司安装的ESET5.0企业版(正版),手动查杀可以杀,但是监控不拦截。 只有TrustedHostServices.exe拦截,但是报的不是病毒,是‘不受欢迎的程序’。。。  
    电脑上同时装有电脑管家,管家监控能拦截其它4个样本,TrustedHostServices.exe这个管家不拦截。  现在不知道是不是主病毒它们两个软件都没有找到还是怎么回事,反正内网还在传播。  各位看看自己手头的杀软是否都能查杀,和都能监控拦截。  有漏的话,大家都上报一下,让杀软的工程师都分析分析。(这里只能添加500k的附件)  我上传到网盘里。
链接: https://pan.baidu.com/s/1smlPdd7 密码: k8w6
191196846
发表于 2018-2-7 10:58:30 | 显示全部楼层
本帖最后由 191196846 于 2018-2-7 10:59 编辑

后门,挖矿,勒索,又传播……你的单位还缺什么

  1. 2018/2/7 10:57:42        任务已启动                任务已启动                DESKTOP-G67ASI6\USER        
  2. 2018/2/7 10:57:43        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/spoolsv.exe        检测到威胁: Backdoor.Win64.Agent.hly        本地数据库        DESKTOP-G67ASI6\USER        
  3. 2018/2/7 10:57:59        对象的备份副本已创建        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar        已创建备份: Backdoor.Win64.Agent.hly                DESKTOP-G67ASI6\USER        
  4. 2018/2/7 10:57:59        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tpmagentservice.dll        检测到威胁: Trojan.Win64.Miner.abz        本地数据库        DESKTOP-G67ASI6\USER        
  5. 2018/2/7 10:58:01        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tasksche.exe        检测到威胁: Trojan-Ransom.Win32.Wanna.zbu        本地数据库        DESKTOP-G67ASI6\USER        
  6. 2018/2/7 10:58:02        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/mssecsvc.exe        检测到威胁: Trojan-Ransom.Win32.Wanna.m        本地数据库        DESKTOP-G67ASI6\USER        
  7. 2018/2/7 10:58:03        检测到可能被犯罪分子利用以破坏您的计算机或个人数据的合法软件        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/TrustedHostServices.exe        检测到威胁: not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen        本地数据库        DESKTOP-G67ASI6\USER        
  8. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/spoolsv.exe        已删除: Backdoor.Win64.Agent.hly                DESKTOP-G67ASI6\USER        
  9. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tpmagentservice.dll        已删除: Trojan.Win64.Miner.abz                DESKTOP-G67ASI6\USER        
  10. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tasksche.exe        已删除: Trojan-Ransom.Win32.Wanna.zbu                DESKTOP-G67ASI6\USER        
  11. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/mssecsvc.exe        已删除: Trojan-Ransom.Win32.Wanna.m                DESKTOP-G67ASI6\USER        
  12. 2018/2/7 10:58:04        已将对象移至隔离区        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/TrustedHostServices.exe        已被隔离: not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen                DESKTOP-G67ASI6\USER        
  13. 2018/2/7 10:58:04        任务已完成                任务已完成                NT AUTHORITY\SYSTEM        
复制代码
安全守护者
发表于 2018-2-7 11:00:26 | 显示全部楼层
火绒全部检出
  1. 病毒库:2018/02/06 16:13
  2. 开始时间:2018/02/07 10:59
  3. 总计用时:00:00:02
  4. 扫描对象:6个
  5. 扫描文件:6个
  6. 发现风险:5个
  7. 已处理风险:0个
  8. 发现系统修复项:0个
  9. 处理系统修复项:0个

  10. 病毒详情

  11. 风险路径:D:\BDYB\spoolsv中的病毒\mssecsvc.exe, 病毒名:Ransom/Wannacry.h, 病毒ID:[b417afda36ac6168], 处理结果:已忽略
  12. 风险路径:D:\BDYB\spoolsv中的病毒\spoolsv.exe, 病毒名:Backdoor/Doublepulsar.a, 病毒ID:[2b9133a92e6f173e], 处理结果:已忽略
  13. 风险路径:D:\BDYB\spoolsv中的病毒\tasksche.exe, 病毒名:Ransom/Wannacry.i, 病毒ID:[d8fd85ab409d1364], 处理结果:已忽略
  14. 风险路径:D:\BDYB\spoolsv中的病毒\tpmagentservice.dll, 病毒名:Trojan/CoinMiner.ae, 病毒ID:[92835ded54fa6948], 处理结果:已忽略
  15. 风险路径:D:\BDYB\spoolsv中的病毒\TrustedHostServices.exe, 病毒名:HackTool/CoinMiner.a, 病毒ID:[7d86d25142eaa51], 处理结果:已忽略
复制代码


安全守护者
发表于 2018-2-7 11:03:51 | 显示全部楼层
  1. 【扫描信息】

  2. 开始时间:2018-2-7 11:02:43
  3. 扫描用时:00:00:05
  4. 扫描类型:指定位置杀毒
  5. 扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
  6. 扫描状态:扫描完成


  7. 【扫描结果】

  8. 扫描文件数:6
  9. 发现风险数:4
  10. 已处理风险数:0


  11. ---------------------
  12. 2018-2-7 11:02:43 MD5:61c49acb542f5fa5ea9f2efcd534d720 D:\BDYB\spoolsv中的病毒\tpmagentservice.dll [Win64.Trojan.Miner.Wopw]  [未处理]
  13. 2018-2-7 11:02:43 MD5:d6eed181c5c0c893e92e92e12230907b D:\BDYB\spoolsv中的病毒\tasksche.exe [Win32.Trojan.Wannacry.Itay]  [未处理]
  14. 2018-2-7 11:02:43 MD5:593c0352bda3fee2e0d56d63601fa632 D:\BDYB\spoolsv中的病毒\spoolsv.exe [Win64.Backdoor.Agent.Svhs]  [未处理]
  15. 2018-2-7 11:02:43 MD5:5cbff3981b355a97a3fec453cd8c8875 D:\BDYB\spoolsv中的病毒\mssecsvc.exe [Win32.Trojan.Ransomware.Auto]  [未处理]
  16. ---------------------
复制代码
maomaojk
 楼主| 发表于 2018-2-7 11:11:58 | 显示全部楼层

看你这份结果,管家是漏了一个吧。
maomaojk
 楼主| 发表于 2018-2-7 11:13:55 | 显示全部楼层
191196846 发表于 2018-2-7 10:58
后门,挖矿,勒索,又传播……你的单位还缺什么

你用的这个是什么杀软? 说TrustedHostServices.exe是可能被犯罪分子利用以破坏您的计算机或个人数据的合法软件。  合法吗?
191196846
发表于 2018-2-7 11:15:24 | 显示全部楼层
maomaojk 发表于 2018-2-7 11:13
你用的这个是什么杀软? 说TrustedHostServices.exe是可能被犯罪分子利用以破坏您的计算机或个人数据的合 ...

卡巴斯基

大部分是会被利用的
安全守护者
发表于 2018-2-7 11:16:26 | 显示全部楼层
maomaojk 发表于 2018-2-7 11:13
你用的这个是什么杀软? 说TrustedHostServices.exe是可能被犯罪分子利用以破坏您的计算机或个人数据的合 ...

估计是“命令不合法‘中合法的意思吧
安全守护者
发表于 2018-2-7 11:18:45 | 显示全部楼层
本帖最后由 安全守护者 于 2018-2-7 11:20 编辑
maomaojk 发表于 2018-2-7 11:11
看你这份结果,管家是漏了一个吧。


mssecsvc.exe有这个奇怪的HTTP请求,这是我PING这个URL的结果

  1. URL                                                                                               请求方法
  2. http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/    GET
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
安全守护者
发表于 2018-2-7 11:25:40 | 显示全部楼层
  1. mssecsvc_exe        1stsecureit.com
  2. mssecsvc_exe        2.5.29.15
  3. mssecsvc_exe        32red.com
  4. mssecsvc_exe        4MTAs still active at process shutdown. Do !comexts.comthreads
  5. mssecsvc_exe        7-eleven.com
  6. mssecsvc_exe        abidjandeal.com
  7. mssecsvc_exe        absoluteacrylic.com
  8. mssecsvc_exe        absolutecollection.com
  9. mssecsvc_exe        academicsuperstore.com
  10. mssecsvc_exe        activeevents.com
  11. mssecsvc_exe        adobe.com
  12. mssecsvc_exe        ahlcorp.com
  13. mssecsvc_exe        alere.com
  14. mssecsvc_exe        alivebuilder.com
  15. mssecsvc_exe        alivemax.com
  16. mssecsvc_exe        alivemaxpro.com
  17. mssecsvc_exe        alivemaxru.com
  18. mssecsvc_exe        allstateatwork.com
  19. mssecsvc_exe        allstatecarcare.com
  20. mssecsvc_exe        allstate.com
  21. mssecsvc_exe        allstateworkplacedivision.com
  22. mssecsvc_exe        ALLUSERSPROFILE=C:\ProgramData
  23. mssecsvc_exe        alt-sheff.org
  24. mssecsvc_exe        amaranthmail.com
  25. mssecsvc_exe        anonymous-proxy-servers.net
  26. mssecsvc_exe        APPDATA=C:\Users\win10user\AppData\Roaming
  27. mssecsvc_exe        appirio.net
  28. mssecsvc_exe        aps.edu
  29. mssecsvc_exe        arenaflowers.com
  30. mssecsvc_exe        argosy.edu
  31. mssecsvc_exe        arkansasonline.com
  32. mssecsvc_exe        arraydemo.com
  33. mssecsvc_exe        atlascorpbilling.com
  34. mssecsvc_exe        atosorigin.com
  35. mssecsvc_exe        autotrader.com
  36. mssecsvc_exe        awdny.com
  37. mssecsvc_exe        azarmi.org
  38. mssecsvc_exe        azuredee.com
  39. mssecsvc_exe        baidu.com
  40. mssecsvc_exe        bancoagricola.com
  41. mssecsvc_exe        bandstra.com
  42. mssecsvc_exe        bapttf.org
  43. mssecsvc_exe        barclaycardus.com
  44. mssecsvc_exe        bechtel.com
  45. mssecsvc_exe        belron.net
  46. mssecsvc_exe        bettymills.com
  47. mssecsvc_exe        biglist.com
  48. mssecsvc_exe        bigpoint.com
  49. mssecsvc_exe        bluehornet.com
  50. mssecsvc_exe        bluephoenixnetwork.com
  51. mssecsvc_exe        bodekandrhodes.com
  52. mssecsvc_exe        boeing.com
  53. mssecsvc_exe        bose.com
  54. mssecsvc_exe        brastemp.com.br
  55. mssecsvc_exe        bronleewe.net
  56. mssecsvc_exe        budgetdirect.com.au
  57. mssecsvc_exe        buydistressed.com
  58. mssecsvc_exe        caltexrecords.com
  59. mssecsvc_exe        canonstaffsales.com
  60. mssecsvc_exe        cardquery.com
  61. mssecsvc_exe        carhirebooker.com
  62. mssecsvc_exe        cashdoctor.com
  63. mssecsvc_exe        ccci.org
  64. mssecsvc_exe        cebbank.com
  65. mssecsvc_exe        cequel3.com
  66. mssecsvc_exe        chacha.com
  67. mssecsvc_exe        chcf.net
  68. mssecsvc_exe        cheapcaribbean.com
  69. mssecsvc_exe        cheapertravel.com
  70. mssecsvc_exe        chillibull.com
  71. mssecsvc_exe        chrono24hrs.com
  72. mssecsvc_exe        chsys.org
  73. mssecsvc_exe        cityofseattle.net
  74. mssecsvc_exe        cityofseattle.org
  75. mssecsvc_exe        coasttocoasttickets.com
  76. mssecsvc_exe        coldwatercreek.com
  77. mssecsvc_exe        collegeinvest.org
  78. mssecsvc_exe        comerci.com.mx
  79. mssecsvc_exe        commerce5.com
  80. mssecsvc_exe        CommonProgramFiles=C:\Program Files (x86)\Common Files
  81. mssecsvc_exe        CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
  82. mssecsvc_exe        CommonProgramW6432=C:\Program Files\Common Files
  83. mssecsvc_exe        ComSpec=C:\Windows\system32\cmd.exe
  84. mssecsvc_exe        condodirect.com
  85. mssecsvc_exe        Cookie:win10user@iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
  86. mssecsvc_exe        "D:\mssecsvc.exe"
  87. mssecsvc_exe        D:\mssecsvc.exe
  88. mssecsvc_exe        <dpiAware xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</dpiAware>
  89. mssecsvc_exe        ea.com
  90. mssecsvc_exe        g.live.com
  91. mssecsvc_exe        Host: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  92. mssecsvc_exe        Hostwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.comGET / HTTP/1.1u8
  93. mssecsvc_exe        http://purl.org/rss/1.0/
  94. mssecsvc_exe        https://go.microsoft.com/fwlink/?Lin2600
  95. mssecsvc_exe        https://iecvlist.microsoft.com/edge/desktop/1432152749/edgecompatviewlist.xml
  96. mssecsvc_exe        https://iecvlist.microsoft.com/edge/phone/1414005494/edgecompatviewlist.xml
  97. mssecsvc_exe        https://iecvlist.microsoft.com/IE11/1426178821/iecompatviewlist.xml
  98. mssecsvc_exe        https://ieonline.microsoft.com/iedomainsuggestions/ie11/suggestions.%s
  99. mssecsvc_exe        https://ieonline.microsoft.com/ieflipahead/ie10/rules.xml
  100. mssecsvc_exe        https://ieonline.microsoft.com/ieflipahead/ie11mobile/rules.xml
  101. mssecsvc_exe        https://www.modern.ie/Umbraco/Api/CompatIssueApi/PostCompatIssue
  102. mssecsvc_exe        https://www.modern.ie/Umbraco/Api/CompatIssueApi/PostCompatIssue?version=2
  103. mssecsvc_exe        https://www.modern.ie/umbraco/api/readingviewissues/postreadingviewissue
  104. mssecsvc_exe        http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  105. mssecsvc_exe        http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
  106. mssecsvc_exe        http://www.w3.org/1999/02/22-rdf-syntax-ns#
  107. mssecsvc_exe        iecvlist.microsoft.com
  108. mssecsvc_exe        itgproxy.redmond.corp.microsoft.com:80
  109. mssecsvc_exe        iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  110. mssecsvc_exe        iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
  111. mssecsvc_exe        live.com
  112. mssecsvc_exe        LOCALAPPDATA=C:\Users\win10user\AppData\Local
  113. mssecsvc_exe        .microsoft.com
  114. mssecsvc_exe        OneDrive=C:\Users\win10user\OneDrive
  115. mssecsvc_exe        ProgramData=C:\ProgramData
  116. mssecsvc_exe        ProgramFiles=C:\Program Files (x86)
  117. mssecsvc_exe        ProgramFiles(x86)=C:\Program Files (x86
  118. mssecsvc_exe        ProgramFiles(x86)=C:\Program Files (x86)
  119. mssecsvc_exe        ProgramW6432=C:\Program Files
  120. mssecsvc_exe        PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
  121. mssecsvc_exe        PUBLIC=C:\Users\Public
  122. mssecsvc_exe        res://ieframe.dll/inprivate.htm
  123. mssecsvc_exe        res://ieframe.dll/inprivate_win7.htm
  124. mssecsvc_exe        res://ieframe.dll/navcancl.htm
  125. mssecsvc_exe        res://ieframe.dll/noaddon.htm
  126. mssecsvc_exe        res://ieframe.dll/noaddoninfo.htm
  127. mssecsvc_exe        res://ieframe.dll/repost.htm
  128. mssecsvc_exe        res://ieframe.dll/securityatrisk.htm
  129. mssecsvc_exe        res://iesetup.dll/HardAdmin.htm
  130. mssecsvc_exe        res://iesetup.dll/HardUser.htm
  131. mssecsvc_exe        res://iesetup.dll/SoftAdmin.htm
  132. mssecsvc_exe        res://mshtml.dll/blank.htm
  133. mssecsvc_exe        rfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  134. mssecsvc_exe        SystemRoot=C:\Windows
  135. mssecsvc_exe        targetNamespace="http://schemas.microsoft.com/Search/2013/ApplicationContent"
  136. mssecsvc_exe        TEMP=C:\Users\WIN10U~1\AppData\Local\Temp
  137. mssecsvc_exe        TMP=C:\Users\WIN10U~1\AppData\Local\Temp
  138. mssecsvc_exe        travel.cn
  139. mssecsvc_exe        t.urs.microsoft.com
  140. mssecsvc_exe        USERPROFILE=C:\Users\win10user
  141. mssecsvc_exe        w3.org
  142. mssecsvc_exe        war.net.id
  143. mssecsvc_exe        windir=C:\Windows
  144. mssecsvc_exe        www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  145. mssecsvc_exe        www.%s.com
  146. mssecsvc_exe        www.%s.edu
  147. mssecsvc_exe        www.%s.net
  148. mssecsvc_exe        www.%s.org
  149. mssecsvc_exe        xmlns:ac="http://schemas.microsoft.com/Search/2013/ApplicationContent"
  150. mssecsvc_exe        xmlns="urn:schemas.microsoft.com/appcompat/2010/03/shimengstate">
  151. mssecsvc_exe        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  152. mssecsvc_exe        <xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema"
  153. mssecsvc_exe        xsi:schemaLocation="urn:schemas.microsoft.com/appcompat/2010/03/shimengstate EngineState.xsd"
复制代码


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-5-26 14:00 , Processed in 0.115848 second(s), 19 queries .

快速回复 返回顶部 返回列表