国外病毒样本很久没去抓毒了

c/mm

avast

左手

1. 2019/2/9 星期六 21:26:31    修改注册表值 风险提示:木马    阻止
   
2. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
   
3. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\j5ygop
   
4. 值: C:\Users\ADMINI~1\AppData\Local\Temp\16818823\sek.exe C:\Users\ADMINI~1\AppData\Local\Temp\16818823\LNK_CV~1
   
5. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
6. 
   
7. 2019/2/9 星期六 21:26:33    加载动态链接库 风险提示:中等程度风险    允许
   
8. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
   
9. 目标: c:\windows\system32\dnsapi.dll
   
10. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll
    
11. 
    
12. 2019/2/9 星期六 21:26:53    创建新进程 风险提示:未知    允许
    
13. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
    
14. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
15. 命令行: "C:\windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe"
    
16. 规则: [应用程序]* -> [子应用程序]c:\windows\microsoft.net\framework\*\*
    
17. 
    
18. 2019/2/9 星期六 21:27:01    修改其他进程的内存 风险提示:高风险    阻止
    
19. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
    
20. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
21. 规则: [应用程序]* -> [目标应用程序]c:\windows\*
    
22. 
    
23. 2019/2/9 星期六 21:27:01    修改其他进程的内存 风险提示:高风险    阻止
    
24. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
    
25. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
26. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\appdata\local\temp\16818823\sek.exe -> [目标应用程序]c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
27. 
    
28. 2019/2/9 星期六 21:27:08    修改其他进程的线程 风险提示:高风险    阻止
    
29. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
    
30. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
31. 规则: [应用程序]* -> [目标应用程序]c:\windows\*
    
32. 
    
33. 2019/2/9 星期六 21:27:09    修改其他进程的内存 风险提示:高风险    阻止
    
34. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
    
35. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
36. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\appdata\local\temp\16818823\sek.exe -> [目标应用程序]c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
37. 
    
38. 2019/2/9 星期六 21:27:09    修改其他进程的线程 风险提示:高风险    阻止
    
39. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
    
40. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
41. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\appdata\local\temp\16818823\sek.exe -> [目标应用程序]c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
    
42. 
    

复制代码

www-tekeze

红伞，监控1X，扫描1X，清空。

www-tekeze

智量Heur清空，火绒kill 1X，有空双击。。

www-tekeze

ESET，清空。

www-tekeze

安天智甲、管家无BD，清空！

momo5269

VSE 排除区解压出来即删

www-tekeze

www-tekeze 发表于 2019-2-9 21:47
智量Heur清空，火绒kill 1X，有空双击。。

双击，会自动打开“My Documents”，添加自启、联网，但没任何流量。

重启后有个自启进程，用火绒和智量快速扫描没发现任何问题，会偷偷上传用户数据？？ 不明觉厉！

阿里小白帽

curfew

www-tekeze 发表于 2019-2-9 22:13
双击，会自动打开“My Documents”，添加自启、联网，但没任何流量。

重启后有个自启进程，用火绒和智 ...

Autoit本身是个正经软件，跟按键精灵差不多。这里不一定是上传用户数据，也有可能是下载器。