图片病毒。20190620更新过智量查杀和主防。

18927058963

迟一点我用防火墙的手动模式试试看能不能拦下来。

左手

1. 2019/6/13 星期四 21:18:30    创建新进程 风险提示:未知    允许
   
2. 进程: c:\windows\explorer.exe
   
3. 目标: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
   
4. 命令行: "C:\Users\Administrator\Desktop\我的照片\我的照片e‭‮gpj‮.exe"
   
5. 规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]*‮*.???
   
6. 
   
7. 2019/6/13 星期四 21:18:37    创建文件 风险提示:低风险    允许
   
8. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
   
9. 目标: C:\Users\Administrator\Desktop\我的照片\__tmp_rar_sfx_access_check_747728
   
10. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
    
11. 
    
12. 2019/6/13 星期四 21:18:42    创建文件 风险提示:低风险    允许
    
13. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
    
14. 目标: C:\Users\Administrator\Desktop\我的照片\EV.exe
    
15. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
    
16. 
    
17. 2019/6/13 星期四 21:18:44    创建文件 风险提示:低风险    允许
    
18. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
    
19. 目标: C:\Users\Administrator\Desktop\我的照片\我的照片eexe.cmd
    
20. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
    
21. 
    
22. 2019/6/13 星期四 21:18:48    创建新进程 风险提示:未知    允许
    
23. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
    
24. 目标: c:\windows\system32\cmd.exe
    
25. 命令行: C:\windows\system32\cmd.exe /c ""C:\Users\Administrator\Desktop\我的照片\我的照片eexe.cmd" "
    
26. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe
    
27. 
    
28. 2019/6/13 星期四 21:18:51    创建新进程 风险提示:未知    允许
    
29. 进程: c:\windows\system32\cmd.exe
    
30. 目标: c:\program files\2345pic\2345picviewer.exe
    
31. 命令行: "C:\Program Files\2345Pic\2345PicViewer.exe" "C:\Users\Administrator\Desktop\我的照片\我的照片eexe.jpg"
    
32. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*.exe
    
33. 
    
34. 2019/6/13 星期四 21:18:56    创建新进程 风险提示:未知    允许
    
35. 进程: c:\windows\system32\cmd.exe
    
36. 目标: c:\users\administrator\desktop\我的照片\ev.exe
    
37. 命令行: .\ev.exe
    
38. 规则: [应用程序]?* -> [子应用程序]a090_《行为防御》_不受信任的未知程序
    
39. 
    
40. 2019/6/13 星期四 21:19:01    删除文件 风险提示:木马    允许
    
41. 进程: c:\windows\system32\cmd.exe
    
42. 目标: C:\Users\Administrator\Desktop\我的照片\我的照片e‭‮gpj‮.exe
    
43. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面
    
44. 
    
45. 2019/6/13 星期四 21:19:08    创建注册表项 风险提示:未知    阻止
    
46. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
47. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\remote
    
48. 规则: [注册表组]r000_病毒生成物名单 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    
49. 
    
50. 2019/6/13 星期四 21:19:09    设置文件夹隐藏属性 风险提示:木马    阻止
    
51. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
52. 目标: C:\ProgramData\Microsoft\Windows\GameExplorer
    
53. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*
    
54. 
    
55. 2019/6/13 星期四 21:19:09    加载动态链接库 风险提示:中等程度风险    允许
    
56. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
57. 目标: c:\windows\system32\dnsapi.dll
    
58. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll
    
59. 
    
60. 2019/6/13 星期四 21:19:20    修改注册表值 风险提示:木马    阻止
    
61. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
62. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs
    
63. 值: .Net CLR3                                                                                                                                                                                                                                                        
    
64. 规则: [注册表组]r010_行为防御★★★★ -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost; netsvcs
    
65. 
    
66. 2019/6/13 星期四 21:19:27    创建注册表项 风险提示:未知    阻止
    
67. 进程: c:\windows\system32\services.exe
    
68. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
    
69. 规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]r085_驱动服务 -> [注册表]*\System\*Controlset*\Services
    
70. 
    
71. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
    
72. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
73. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR3
    
74. 规则: [注册表组]r085_驱动服务 -> [注册表]*\System\*Controlset*\Services
    
75. 
    
76. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
    
77. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
78. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
    
79. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3
    
80. 
    
81. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
    
82. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
83. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR3
    
84. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3
    
85. 
    
86. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
    
87. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
88. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
    
89. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3
    
90. 
    
91. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
    
92. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
93. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR3\Parameters
    
94. 规则: [注册表组]《受保护的注册表项目》 -> [注册表]*\System\*ControlSet*\Services*
    
95. 
    
96. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
    
97. 进程: c:\users\administrator\desktop\我的照片\ev.exe
    
98. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
    
99. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3
    
100. 
     
101. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
     
102. 进程: c:\users\administrator\desktop\我的照片\ev.exe
     
103. 目标: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\.Net CLR3
     
104. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3
     
105. 
     
106. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
     
107. 进程: c:\users\administrator\desktop\我的照片\ev.exe
     
108. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
     
109. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3
     
110. 
     
111. 2019/6/13 星期四 21:19:40    创建新进程 风险提示:未知    允许
     
112. 进程: c:\users\administrator\desktop\我的照片\ev.exe
     
113. 目标: c:\windows\system32\cmd.exe
     
114. 命令行: C:\windows\system32\cmd.exe /c C:\Windows\System32\\Delete00.bat
     
115. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe
     
116. 
     
117. 2019/6/13 星期四 21:19:48    删除文件 风险提示:木马    允许
     
118. 进程: c:\windows\system32\cmd.exe
     
119. 目标: C:\Users\Administrator\Desktop\我的照片\EV.exe
     
120. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面
     
121. 
     
122. 2019/6/13 星期四 21:19:53    删除文件 风险提示:木马    允许
     
123. 进程: c:\windows\system32\cmd.exe
     
124. 目标: C:\Windows\System32\Delete00.bat
     
125. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat
     
126. 
     

复制代码

nita

直接就干掉了

yjwfdc

nita 发表于 2019-6-13 21:22
直接就干掉了

试试运行后能不能查出来。

yjwfdc

18927058963 发表于 2019-6-13 20:59
迟一点我用防火墙的手动模式试试看能不能拦下来。

应该可以的

18927058963

楼主，你试试能不能联系上我

左手

yjwfdc 发表于 2019-6-13 21:29
试试运行后能不能查出来。

飘。MD加你的规则应该是拦下了吧?刚才发现本体好大。120M左右。我手动删了。

yjwfdc

左手 发表于 2019-6-13 21:32
飘。MD加你的规则应该是拦下了吧?刚才发现本体好大。120M左右。我手动删了。

是的。

yjwfdc

18927058963 发表于 2019-6-13 21:31
楼主，你试试能不能联系上我

联系不上。

18927058963

yjwfdc 发表于 2019-6-13 21:30
应该可以的

我把防火墙的自动档换成手动档了，这下应该无法操控我了。以前我都是用手动档，单奔windows firewall control一年多都没事，后来插u盘中毒了，就用上了eset，才把windows firewall control删了用eis偷懒，昨天测试样本eis连续三个被过，而微点主防三个未知全部拦截，才换回微点主防，现在想想还是手动档好。