●●●●单位新感染的病毒大家都查查●●●●

maomaojk

    单位周六开始有电脑感染此病毒，并且大量传播，现在已经有三十多台中招了！ 公司安装的ESET5.0企业版（正版），手动查杀可以杀，但是监控不拦截。 只有TrustedHostServices.exe拦截，但是报的不是病毒，是‘不受欢迎的程序’。。。  
    电脑上同时装有电脑管家，管家监控能拦截其它4个样本，TrustedHostServices.exe这个管家不拦截。  现在不知道是不是主病毒它们两个软件都没有找到还是怎么回事，反正内网还在传播。  各位看看自己手头的杀软是否都能查杀，和都能监控拦截。  有漏的话，大家都上报一下，让杀软的工程师都分析分析。（这里只能添加500k的附件）  我上传到网盘里。
链接: https://pan.baidu.com/s/1smlPdd7 密码: k8w6

Jerry.Lin

后门，挖矿，勒索，又传播……你的单位还缺什么

1. 2018/2/7 10:57:42        任务已启动                任务已启动                DESKTOP-G67ASI6\USER        
   
2. 2018/2/7 10:57:43        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/spoolsv.exe        检测到威胁: Backdoor.Win64.Agent.hly        本地数据库        DESKTOP-G67ASI6\USER        
   
3. 2018/2/7 10:57:59        对象的备份副本已创建        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar        已创建备份: Backdoor.Win64.Agent.hly                DESKTOP-G67ASI6\USER        
   
4. 2018/2/7 10:57:59        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tpmagentservice.dll        检测到威胁: Trojan.Win64.Miner.abz        本地数据库        DESKTOP-G67ASI6\USER        
   
5. 2018/2/7 10:58:01        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tasksche.exe        检测到威胁: Trojan-Ransom.Win32.Wanna.zbu        本地数据库        DESKTOP-G67ASI6\USER        
   
6. 2018/2/7 10:58:02        检测到恶意对象        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/mssecsvc.exe        检测到威胁: Trojan-Ransom.Win32.Wanna.m        本地数据库        DESKTOP-G67ASI6\USER        
   
7. 2018/2/7 10:58:03        检测到可能被犯罪分子利用以破坏您的计算机或个人数据的合法软件        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/TrustedHostServices.exe        检测到威胁: not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen        本地数据库        DESKTOP-G67ASI6\USER        
   
8. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/spoolsv.exe        已删除: Backdoor.Win64.Agent.hly                DESKTOP-G67ASI6\USER        
   
9. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tpmagentservice.dll        已删除: Trojan.Win64.Miner.abz                DESKTOP-G67ASI6\USER        
   
10. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/tasksche.exe        已删除: Trojan-Ransom.Win32.Wanna.zbu                DESKTOP-G67ASI6\USER        
    
11. 2018/2/7 10:58:04        对象已删除        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/mssecsvc.exe        已删除: Trojan-Ransom.Win32.Wanna.m                DESKTOP-G67ASI6\USER        
    
12. 2018/2/7 10:58:04        已将对象移至隔离区        C:\Users\USER\Downloads\Compressed\Virus Test\spoolsv中的病毒.rar/TrustedHostServices.exe        已被隔离: not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen                DESKTOP-G67ASI6\USER        
    
13. 2018/2/7 10:58:04        任务已完成                任务已完成                NT AUTHORITY\SYSTEM        
    

复制代码

安全守护者

火绒全部检出

1. 病毒库：2018/02/06 16:13
   
2. 开始时间：2018/02/07 10:59
   
3. 总计用时：00:00:02
   
4. 扫描对象：6个
   
5. 扫描文件：6个
   
6. 发现风险：5个
   
7. 已处理风险：0个
   
8. 发现系统修复项：0个
   
9. 处理系统修复项：0个
   
10. 
    
11. 病毒详情
    
12. 
    
13. 风险路径：D:\BDYB\spoolsv中的病毒\mssecsvc.exe, 病毒名：Ransom/Wannacry.h, 病毒ID：[b417afda36ac6168], 处理结果：已忽略
    
14. 风险路径：D:\BDYB\spoolsv中的病毒\spoolsv.exe, 病毒名：Backdoor/Doublepulsar.a, 病毒ID：[2b9133a92e6f173e], 处理结果：已忽略
    
15. 风险路径：D:\BDYB\spoolsv中的病毒\tasksche.exe, 病毒名：Ransom/Wannacry.i, 病毒ID：[d8fd85ab409d1364], 处理结果：已忽略
    
16. 风险路径：D:\BDYB\spoolsv中的病毒\tpmagentservice.dll, 病毒名：Trojan/CoinMiner.ae, 病毒ID：[92835ded54fa6948], 处理结果：已忽略
    
17. 风险路径：D:\BDYB\spoolsv中的病毒\TrustedHostServices.exe, 病毒名：HackTool/CoinMiner.a, 病毒ID：[7d86d25142eaa51], 处理结果：已忽略
    

复制代码

安全守护者

1. 【扫描信息】
   
2. 
   
3. 开始时间:2018-2-7 11:02:43
   
4. 扫描用时:00:00:05
   
5. 扫描类型:指定位置杀毒
   
6. 扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
   
7. 扫描状态:扫描完成
   
8. 
   
9. 
   
10. 【扫描结果】
    
11. 
    
12. 扫描文件数:6
    
13. 发现风险数:4
    
14. 已处理风险数:0
    
15. 
    
16. 
    
17. ---------------------
    
18. 2018-2-7 11:02:43 MD5:61c49acb542f5fa5ea9f2efcd534d720 D:\BDYB\spoolsv中的病毒\tpmagentservice.dll [Win64.Trojan.Miner.Wopw]  [未处理]
    
19. 2018-2-7 11:02:43 MD5:d6eed181c5c0c893e92e92e12230907b D:\BDYB\spoolsv中的病毒\tasksche.exe [Win32.Trojan.Wannacry.Itay]  [未处理]
    
20. 2018-2-7 11:02:43 MD5:593c0352bda3fee2e0d56d63601fa632 D:\BDYB\spoolsv中的病毒\spoolsv.exe [Win64.Backdoor.Agent.Svhs]  [未处理]
    
21. 2018-2-7 11:02:43 MD5:5cbff3981b355a97a3fec453cd8c8875 D:\BDYB\spoolsv中的病毒\mssecsvc.exe [Win32.Trojan.Ransomware.Auto]  [未处理]
    
22. ---------------------

复制代码

maomaojk

安全守护者 发表于 2018-2-7 11:03

看你这份结果，管家是漏了一个吧。

maomaojk

191196846 发表于 2018-2-7 10:58
后门，挖矿，勒索，又传播……你的单位还缺什么

你用的这个是什么杀软？ 说TrustedHostServices.exe是可能被犯罪分子利用以破坏您的计算机或个人数据的合法软件。  合法吗？

Jerry.Lin

maomaojk 发表于 2018-2-7 11:13
你用的这个是什么杀软？ 说TrustedHostServices.exe是可能被犯罪分子利用以破坏您的计算机或个人数据的合 ...

卡巴斯基

大部分是会被利用的

安全守护者

maomaojk 发表于 2018-2-7 11:13
你用的这个是什么杀软？ 说TrustedHostServices.exe是可能被犯罪分子利用以破坏您的计算机或个人数据的合 ...

估计是“命令不合法‘中合法的意思吧

安全守护者

maomaojk 发表于 2018-2-7 11:11
看你这份结果，管家是漏了一个吧。

mssecsvc.exe有这个奇怪的HTTP请求，这是我PING这个URL的结果

1. URL                                                                                               请求方法
   
2. http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/    GET

复制代码

安全守护者

1. mssecsvc_exe        1stsecureit.com
   
2. mssecsvc_exe        2.5.29.15
   
3. mssecsvc_exe        32red.com
   
4. mssecsvc_exe        4MTAs still active at process shutdown. Do !comexts.comthreads
   
5. mssecsvc_exe        7-eleven.com
   
6. mssecsvc_exe        abidjandeal.com
   
7. mssecsvc_exe        absoluteacrylic.com
   
8. mssecsvc_exe        absolutecollection.com
   
9. mssecsvc_exe        academicsuperstore.com
   
10. mssecsvc_exe        activeevents.com
    
11. mssecsvc_exe        adobe.com
    
12. mssecsvc_exe        ahlcorp.com
    
13. mssecsvc_exe        alere.com
    
14. mssecsvc_exe        alivebuilder.com
    
15. mssecsvc_exe        alivemax.com
    
16. mssecsvc_exe        alivemaxpro.com
    
17. mssecsvc_exe        alivemaxru.com
    
18. mssecsvc_exe        allstateatwork.com
    
19. mssecsvc_exe        allstatecarcare.com
    
20. mssecsvc_exe        allstate.com
    
21. mssecsvc_exe        allstateworkplacedivision.com
    
22. mssecsvc_exe        ALLUSERSPROFILE=C:\ProgramData
    
23. mssecsvc_exe        alt-sheff.org
    
24. mssecsvc_exe        amaranthmail.com
    
25. mssecsvc_exe        anonymous-proxy-servers.net
    
26. mssecsvc_exe        APPDATA=C:\Users\win10user\AppData\Roaming
    
27. mssecsvc_exe        appirio.net
    
28. mssecsvc_exe        aps.edu
    
29. mssecsvc_exe        arenaflowers.com
    
30. mssecsvc_exe        argosy.edu
    
31. mssecsvc_exe        arkansasonline.com
    
32. mssecsvc_exe        arraydemo.com
    
33. mssecsvc_exe        atlascorpbilling.com
    
34. mssecsvc_exe        atosorigin.com
    
35. mssecsvc_exe        autotrader.com
    
36. mssecsvc_exe        awdny.com
    
37. mssecsvc_exe        azarmi.org
    
38. mssecsvc_exe        azuredee.com
    
39. mssecsvc_exe        baidu.com
    
40. mssecsvc_exe        bancoagricola.com
    
41. mssecsvc_exe        bandstra.com
    
42. mssecsvc_exe        bapttf.org
    
43. mssecsvc_exe        barclaycardus.com
    
44. mssecsvc_exe        bechtel.com
    
45. mssecsvc_exe        belron.net
    
46. mssecsvc_exe        bettymills.com
    
47. mssecsvc_exe        biglist.com
    
48. mssecsvc_exe        bigpoint.com
    
49. mssecsvc_exe        bluehornet.com
    
50. mssecsvc_exe        bluephoenixnetwork.com
    
51. mssecsvc_exe        bodekandrhodes.com
    
52. mssecsvc_exe        boeing.com
    
53. mssecsvc_exe        bose.com
    
54. mssecsvc_exe        brastemp.com.br
    
55. mssecsvc_exe        bronleewe.net
    
56. mssecsvc_exe        budgetdirect.com.au
    
57. mssecsvc_exe        buydistressed.com
    
58. mssecsvc_exe        caltexrecords.com
    
59. mssecsvc_exe        canonstaffsales.com
    
60. mssecsvc_exe        cardquery.com
    
61. mssecsvc_exe        carhirebooker.com
    
62. mssecsvc_exe        cashdoctor.com
    
63. mssecsvc_exe        ccci.org
    
64. mssecsvc_exe        cebbank.com
    
65. mssecsvc_exe        cequel3.com
    
66. mssecsvc_exe        chacha.com
    
67. mssecsvc_exe        chcf.net
    
68. mssecsvc_exe        cheapcaribbean.com
    
69. mssecsvc_exe        cheapertravel.com
    
70. mssecsvc_exe        chillibull.com
    
71. mssecsvc_exe        chrono24hrs.com
    
72. mssecsvc_exe        chsys.org
    
73. mssecsvc_exe        cityofseattle.net
    
74. mssecsvc_exe        cityofseattle.org
    
75. mssecsvc_exe        coasttocoasttickets.com
    
76. mssecsvc_exe        coldwatercreek.com
    
77. mssecsvc_exe        collegeinvest.org
    
78. mssecsvc_exe        comerci.com.mx
    
79. mssecsvc_exe        commerce5.com
    
80. mssecsvc_exe        CommonProgramFiles=C:\Program Files (x86)\Common Files
    
81. mssecsvc_exe        CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
    
82. mssecsvc_exe        CommonProgramW6432=C:\Program Files\Common Files
    
83. mssecsvc_exe        ComSpec=C:\Windows\system32\cmd.exe
    
84. mssecsvc_exe        condodirect.com
    
85. mssecsvc_exe        Cookie:win10user@iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
    
86. mssecsvc_exe        "D:\mssecsvc.exe"
    
87. mssecsvc_exe        D:\mssecsvc.exe
    
88. mssecsvc_exe        <dpiAware xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</dpiAware>
    
89. mssecsvc_exe        ea.com
    
90. mssecsvc_exe        g.live.com
    
91. mssecsvc_exe        Host: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    
92. mssecsvc_exe        Hostwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.comGET / HTTP/1.1u8
    
93. mssecsvc_exe        http://purl.org/rss/1.0/
    
94. mssecsvc_exe        https://go.microsoft.com/fwlink/?Lin2600
    
95. mssecsvc_exe        https://iecvlist.microsoft.com/edge/desktop/1432152749/edgecompatviewlist.xml
    
96. mssecsvc_exe        https://iecvlist.microsoft.com/edge/phone/1414005494/edgecompatviewlist.xml
    
97. mssecsvc_exe        https://iecvlist.microsoft.com/IE11/1426178821/iecompatviewlist.xml
    
98. mssecsvc_exe        https://ieonline.microsoft.com/iedomainsuggestions/ie11/suggestions.%s
    
99. mssecsvc_exe        https://ieonline.microsoft.com/ieflipahead/ie10/rules.xml
    
100. mssecsvc_exe        https://ieonline.microsoft.com/ieflipahead/ie11mobile/rules.xml
     
101. mssecsvc_exe        https://www.modern.ie/Umbraco/Api/CompatIssueApi/PostCompatIssue
     
102. mssecsvc_exe        https://www.modern.ie/Umbraco/Api/CompatIssueApi/PostCompatIssue?version=2
     
103. mssecsvc_exe        https://www.modern.ie/umbraco/api/readingviewissues/postreadingviewissue
     
104. mssecsvc_exe        http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
     
105. mssecsvc_exe        http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
     
106. mssecsvc_exe        http://www.w3.org/1999/02/22-rdf-syntax-ns#
     
107. mssecsvc_exe        iecvlist.microsoft.com
     
108. mssecsvc_exe        itgproxy.redmond.corp.microsoft.com:80
     
109. mssecsvc_exe        iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
     
110. mssecsvc_exe        iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
     
111. mssecsvc_exe        live.com
     
112. mssecsvc_exe        LOCALAPPDATA=C:\Users\win10user\AppData\Local
     
113. mssecsvc_exe        .microsoft.com
     
114. mssecsvc_exe        OneDrive=C:\Users\win10user\OneDrive
     
115. mssecsvc_exe        ProgramData=C:\ProgramData
     
116. mssecsvc_exe        ProgramFiles=C:\Program Files (x86)
     
117. mssecsvc_exe        ProgramFiles(x86)=C:\Program Files (x86
     
118. mssecsvc_exe        ProgramFiles(x86)=C:\Program Files (x86)
     
119. mssecsvc_exe        ProgramW6432=C:\Program Files
     
120. mssecsvc_exe        PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
     
121. mssecsvc_exe        PUBLIC=C:\Users\Public
     
122. mssecsvc_exe        res://ieframe.dll/inprivate.htm
     
123. mssecsvc_exe        res://ieframe.dll/inprivate_win7.htm
     
124. mssecsvc_exe        res://ieframe.dll/navcancl.htm
     
125. mssecsvc_exe        res://ieframe.dll/noaddon.htm
     
126. mssecsvc_exe        res://ieframe.dll/noaddoninfo.htm
     
127. mssecsvc_exe        res://ieframe.dll/repost.htm
     
128. mssecsvc_exe        res://ieframe.dll/securityatrisk.htm
     
129. mssecsvc_exe        res://iesetup.dll/HardAdmin.htm
     
130. mssecsvc_exe        res://iesetup.dll/HardUser.htm
     
131. mssecsvc_exe        res://iesetup.dll/SoftAdmin.htm
     
132. mssecsvc_exe        res://mshtml.dll/blank.htm
     
133. mssecsvc_exe        rfsodp9ifjaposdfjhgosurijfaewrwergwea.com
     
134. mssecsvc_exe        SystemRoot=C:\Windows
     
135. mssecsvc_exe        targetNamespace="http://schemas.microsoft.com/Search/2013/ApplicationContent"
     
136. mssecsvc_exe        TEMP=C:\Users\WIN10U~1\AppData\Local\Temp
     
137. mssecsvc_exe        TMP=C:\Users\WIN10U~1\AppData\Local\Temp
     
138. mssecsvc_exe        travel.cn
     
139. mssecsvc_exe        t.urs.microsoft.com
     
140. mssecsvc_exe        USERPROFILE=C:\Users\win10user
     
141. mssecsvc_exe        w3.org
     
142. mssecsvc_exe        war.net.id
     
143. mssecsvc_exe        windir=C:\Windows
     
144. mssecsvc_exe        www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
     
145. mssecsvc_exe        www.%s.com
     
146. mssecsvc_exe        www.%s.edu
     
147. mssecsvc_exe        www.%s.net
     
148. mssecsvc_exe        www.%s.org
     
149. mssecsvc_exe        xmlns:ac="http://schemas.microsoft.com/Search/2013/ApplicationContent"
     
150. mssecsvc_exe        xmlns="urn:schemas.microsoft.com/appcompat/2010/03/shimengstate">
     
151. mssecsvc_exe        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     
152. mssecsvc_exe        <xsd:schema xmlns:xsd="http://www.w3.org/2001/XMLSchema"
     
153. mssecsvc_exe        xsi:schemaLocation="urn:schemas.microsoft.com/appcompat/2010/03/shimengstate EngineState.xsd"
     

复制代码