楼主: poorpaper
收起左侧

[可疑文件] WmiPrvSE.exe被注入

[复制链接]
kxmp
发表于 2018-2-18 16:07:04 | 显示全部楼层
poorpaper 发表于 2018-2-18 15:36
这个是因为之前Combofix一直提示我比特梵德反病毒没关闭,我就自己下了个卸载工具

没抓出什么 估计挖矿的东西是正常工具
你确定现在gpu满载?
poorpaper
 楼主| 发表于 2018-2-18 16:11:17 | 显示全部楼层
本帖最后由 poorpaper 于 2018-2-18 16:12 编辑
kxmp 发表于 2018-2-18 16:07
没抓出什么 估计挖矿的东西是正常工具
你确定现在gpu满载?

确定运行那个程序的时候是联网了而且GPU满载,之前在贴吧看到过.tmp有可能挖矿病毒,不知道有没有什么头绪???很奇怪为什么连Bitdefender的程序都跟那串链接有关。。。不应该吧???
poorpaper
 楼主| 发表于 2018-2-18 17:38:45 | 显示全部楼层
本帖最后由 poorpaper 于 2018-2-18 17:47 编辑
2605276004x 发表于 2018-2-18 14:46
我也看不懂这种网址,ping一下试试?不确定。但我有一个应该更简单粗暴的方法,装kis(前提是能装下), ...

怎么限制注入,限制联网???只有一个按钮,就是是否允许启动的那个
是图片那样吗?
哦哦看到了,原来右边那个可以点,我试试

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
2605276004x
发表于 2018-2-18 18:47:20 来自手机 | 显示全部楼层
poorpaper 发表于 2018-2-18 17:38
怎么限制注入,限制联网???只有一个按钮,就是是否允许启动的那个
是图片那样吗?
哦哦看到了,原来 ...

你可以先限制低限制组和高限制组以及不信任组联网先解决问题,因为那个挖矿病毒不大可能被分到信任组,至于注入那个,我现在不在电脑旁。这个帖子有个基础教程https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2033697&extra=page%3D1%26filter%3Dtypeid%26typeid%3D1200
poorpaper
 楼主| 发表于 2018-2-18 19:15:40 | 显示全部楼层
2605276004x 发表于 2018-2-18 18:47
你可以先限制低限制组和高限制组以及不信任组联网先解决问题,因为那个挖矿病毒不大可能被分到信任组,至 ...

好的我看看。。。
kxmp
发表于 2018-2-18 19:27:04 | 显示全部楼层
poorpaper 发表于 2018-2-17 22:20
这俩我都试了,大蜘蛛那个最开始就试过了也把可疑项都处理了,卡巴斯基的那个一个可疑的都没扫出来,现在 ...

找到可疑进程
查看模块列表就行....

poorpaper
 楼主| 发表于 2018-2-18 19:35:33 | 显示全部楼层
本帖最后由 poorpaper 于 2018-2-18 19:37 编辑
kxmp 发表于 2018-2-18 19:27
找到可疑进程
查看模块列表就行....

问一下我在两台win7sp1上在system32和system32\wbem下找到的svchost.exe和wmiprvse.exe两个文件在两台机器上的MD5 SHA1和CRC32不一样。。。这个有问题吗?


上面的是正常系统中复制出来的,下面是中挖矿病毒的电脑里的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
poorpaper
 楼主| 发表于 2018-2-18 20:43:41 | 显示全部楼层
poorpaper 发表于 2018-2-18 19:15
好的我看看。。。

不行。。。实际上低限制的程序都是我自己装的。。。
kxmp
发表于 2018-2-18 21:55:11 | 显示全部楼层
poorpaper 发表于 2018-2-18 19:35
问一下我在两台win7sp1上在system32和system32\wbem下找到的svchost.exe和wmiprvse.exe两个文件在两台机 ...

你复制这个一点意义都没有
怀疑有问题直接扔vt上... 扫扫就知道

你这样弄几年也抓不住那个注入.
真有注入肯定有启动器 或者你什么dll被替换了
有启动器肯定有自启动 否则就是你天天亲手打开的 然后你自己还不知道
2605276004x
发表于 2018-2-18 22:03:57 | 显示全部楼层
poorpaper 发表于 2018-2-18 20:43
不行。。。实际上低限制的程序都是我自己装的。。。

你说这两天的事,可能就是软件的问题,也可能中了毒,当然也可能是挖矿网络。所以你先把非受信任组都禁止网络,禁止注入。如果这个挖矿病毒还能正常工作,要么在信任组,要么中的毒很难被发现,可能是rookit一类,

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 08:31 , Processed in 0.101746 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表