楼主: yjwfdc
收起左侧

[病毒样本] 图片病毒。20190620更新过智量查杀和主防。

  [复制链接]
18927058963
头像被屏蔽
发表于 2019-6-13 20:59:18 来自手机 | 显示全部楼层
迟一点我用防火墙的手动模式试试看能不能拦下来。
左手
发表于 2019-6-13 21:22:05 | 显示全部楼层
  1. 2019/6/13 星期四 21:18:30    创建新进程 风险提示:未知    允许
  2. 进程: c:\windows\explorer.exe
  3. 目标: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
  4. 命令行: "C:\Users\Administrator\Desktop\我的照片\我的照片e‭‮gpj‮.exe"
  5. 规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]*‮*.???

  6. 2019/6/13 星期四 21:18:37    创建文件 风险提示:低风险    允许
  7. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
  8. 目标: C:\Users\Administrator\Desktop\我的照片\__tmp_rar_sfx_access_check_747728
  9. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  10. 2019/6/13 星期四 21:18:42    创建文件 风险提示:低风险    允许
  11. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
  12. 目标: C:\Users\Administrator\Desktop\我的照片\EV.exe
  13. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  14. 2019/6/13 星期四 21:18:44    创建文件 风险提示:低风险    允许
  15. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
  16. 目标: C:\Users\Administrator\Desktop\我的照片\我的照片eexe.cmd
  17. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  18. 2019/6/13 星期四 21:18:48    创建新进程 风险提示:未知    允许
  19. 进程: c:\users\administrator\desktop\我的照片\我的照片e‭‮gpj‮.exe
  20. 目标: c:\windows\system32\cmd.exe
  21. 命令行: C:\windows\system32\cmd.exe /c ""C:\Users\Administrator\Desktop\我的照片\我的照片eexe.cmd" "
  22. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  23. 2019/6/13 星期四 21:18:51    创建新进程 风险提示:未知    允许
  24. 进程: c:\windows\system32\cmd.exe
  25. 目标: c:\program files\2345pic\2345picviewer.exe
  26. 命令行: "C:\Program Files\2345Pic\2345PicViewer.exe" "C:\Users\Administrator\Desktop\我的照片\我的照片eexe.jpg"
  27. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*.exe

  28. 2019/6/13 星期四 21:18:56    创建新进程 风险提示:未知    允许
  29. 进程: c:\windows\system32\cmd.exe
  30. 目标: c:\users\administrator\desktop\我的照片\ev.exe
  31. 命令行: .\ev.exe
  32. 规则: [应用程序]?* -> [子应用程序]a090_《行为防御》_不受信任的未知程序

  33. 2019/6/13 星期四 21:19:01    删除文件 风险提示:木马    允许
  34. 进程: c:\windows\system32\cmd.exe
  35. 目标: C:\Users\Administrator\Desktop\我的照片\我的照片e‭‮gpj‮.exe
  36. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  37. 2019/6/13 星期四 21:19:08    创建注册表项 风险提示:未知    阻止
  38. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  39. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\remote
  40. 规则: [注册表组]r000_病毒生成物名单 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

  41. 2019/6/13 星期四 21:19:09    设置文件夹隐藏属性 风险提示:木马    阻止
  42. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  43. 目标: C:\ProgramData\Microsoft\Windows\GameExplorer
  44. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  45. 2019/6/13 星期四 21:19:09    加载动态链接库 风险提示:中等程度风险    允许
  46. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  47. 目标: c:\windows\system32\dnsapi.dll
  48. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  49. 2019/6/13 星期四 21:19:20    修改注册表值 风险提示:木马    阻止
  50. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  51. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs
  52. 值: .Net CLR3                                                                                                                                                                                                                                                        
  53. 规则: [注册表组]r010_行为防御★★★★ -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost; netsvcs

  54. 2019/6/13 星期四 21:19:27    创建注册表项 风险提示:未知    阻止
  55. 进程: c:\windows\system32\services.exe
  56. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
  57. 规则: [应用程序]c:\windows\system32\services.exe -> [注册表组]r085_驱动服务 -> [注册表]*\System\*Controlset*\Services

  58. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  59. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  60. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR3
  61. 规则: [注册表组]r085_驱动服务 -> [注册表]*\System\*Controlset*\Services

  62. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  63. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  64. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
  65. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3

  66. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  67. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  68. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR3
  69. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3

  70. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  71. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  72. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
  73. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3

  74. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  75. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  76. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.Net CLR3\Parameters
  77. 规则: [注册表组]《受保护的注册表项目》 -> [注册表]*\System\*ControlSet*\Services*

  78. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  79. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  80. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
  81. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3

  82. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  83. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  84. 目标: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\.Net CLR3
  85. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3

  86. 2019/6/13 星期四 21:19:33    创建注册表项 风险提示:未知    阻止
  87. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  88. 目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\.Net CLR3
  89. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\我的照片\ev.exe -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services; .Net CLR3

  90. 2019/6/13 星期四 21:19:40    创建新进程 风险提示:未知    允许
  91. 进程: c:\users\administrator\desktop\我的照片\ev.exe
  92. 目标: c:\windows\system32\cmd.exe
  93. 命令行: C:\windows\system32\cmd.exe /c C:\Windows\System32\\Delete00.bat
  94. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  95. 2019/6/13 星期四 21:19:48    删除文件 风险提示:木马    允许
  96. 进程: c:\windows\system32\cmd.exe
  97. 目标: C:\Users\Administrator\Desktop\我的照片\EV.exe
  98. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  99. 2019/6/13 星期四 21:19:53    删除文件 风险提示:木马    允许
  100. 进程: c:\windows\system32\cmd.exe
  101. 目标: C:\Windows\System32\Delete00.bat
  102. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat

复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
yjwfdc + 1 感谢支持,欢迎常来: )

查看全部评分

nita
发表于 2019-6-13 21:22:55 | 显示全部楼层
直接就干掉了
yjwfdc
头像被屏蔽
 楼主| 发表于 2019-6-13 21:29:40 | 显示全部楼层

试试运行后能不能查出来。
yjwfdc
头像被屏蔽
 楼主| 发表于 2019-6-13 21:30:24 | 显示全部楼层
18927058963 发表于 2019-6-13 20:59
迟一点我用防火墙的手动模式试试看能不能拦下来。

应该可以的
18927058963
头像被屏蔽
发表于 2019-6-13 21:31:01 | 显示全部楼层
本帖最后由 18927058963 于 2019-6-13 21:32 编辑

楼主,你试试能不能联系上我

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2019-6-13 21:32:10 | 显示全部楼层
本帖最后由 左手 于 2019-6-13 21:33 编辑
yjwfdc 发表于 2019-6-13 21:29
试试运行后能不能查出来。

飘。MD加你的规则应该是拦下了吧?刚才发现本体好大。120M左右。我手动删了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yjwfdc
头像被屏蔽
 楼主| 发表于 2019-6-13 21:36:07 | 显示全部楼层
左手 发表于 2019-6-13 21:32
飘。MD加你的规则应该是拦下了吧?刚才发现本体好大。120M左右。我手动删了。

是的。

评分

参与人数 1人气 +3 收起 理由
左手 + 3 赞一个!

查看全部评分

yjwfdc
头像被屏蔽
 楼主| 发表于 2019-6-13 21:36:33 | 显示全部楼层
18927058963 发表于 2019-6-13 21:31
楼主,你试试能不能联系上我

联系不上。
18927058963
头像被屏蔽
发表于 2019-6-13 21:37:20 | 显示全部楼层

我把防火墙的自动档换成手动档了,这下应该无法操控我了。以前我都是用手动档,单奔windows firewall control一年多都没事,后来插u盘中毒了,就用上了eset,才把windows firewall control删了用eis偷懒,昨天测试样本eis连续三个被过,而微点主防三个未知全部拦截,才换回微点主防,现在想想还是手动档好。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:23 , Processed in 0.106679 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表