搜索
楼主: 我是电脑迷
收起左侧

[病毒样本] Π病毒

[复制链接]
温馨小屋
发表于 2019-7-25 10:07:55 | 显示全部楼层
卡巴斯基

本想加壳测一下主防,结果被通用启发命中了。。。



25.07.2019 10.06.45;检测到的对象 ( 文件 ) 已删除;Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe;Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe;HEUR:Trojan.Win32.Generic



25.07.2019 10.06.45;检测到的对象( 文件 );Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe//#;Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe//#;VHO:Trojan-Downloader.Win32.Tiny.gen



我是电脑迷
 楼主| 发表于 2019-7-25 10:08:16 | 显示全部楼层
swizzer
发表于 2019-7-25 10:10:40 | 显示全部楼层
智速安全助手:Heur.Trojan.200b
动作可真大,跟昨天的还差不多。。。
2019\7\25 星期四 10:08:22    创建文件    阻止
进程: f:\$1area\π病毒\π11.exe
目标: C:\Windows\deemo.exe
规则: [应用程序组]【授权】高限制组 -> [文件组]全局高危文件

2019\7\25 星期四 10:08:22    创建文件    阻止
进程: f:\$1area\π病毒\π11.exe
目标: C:\Windows\314.exe
规则: [应用程序组]【授权】高限制组 -> [文件组]全局高危文件

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.txt
值: jpegfile
规则: [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.txt*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.inf
值: jpegfile
规则: [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.inf*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cmd
值: jpegfile
规则: [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.cmd*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: 0x00000000(0)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\System; DisableRegistryTools

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoControlPanel

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
值: 0x00000000(0)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\System; DisableTaskMgr

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
值: 0xffffffff(4294967295)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
值: 0xffffffff(4294967295)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
值: 0x00000001(1)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoFolderOptions

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoClose

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    创建注册表项    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFavorites
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoPrinting
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoViewSource
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRealMode
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    删除注册表值    阻止并结束进程
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay
规则: [注册表组]秒杀高危 -> [注册表]*\System\*controlset*\Control\Safeboot*

我是电脑迷
 楼主| 发表于 2019-7-25 10:19:55 | 显示全部楼层
swizzer 发表于 2019-7-25 10:10
智速安全助手:Heur.Trojan.200b
动作可真大,跟昨天的还差不多。。。
2019\7\25 星期四 10:08:22    创 ...

这个趁他还没爆发可以挽救,先结束进程再手修,只结束进程还会复发
任务管理器都可以结束                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     
swizzer
发表于 2019-7-25 10:22:50 | 显示全部楼层
我是电脑迷 发表于 2019-7-25 10:19
这个趁他还没爆发可以挽救,先结束进程再手修,只结束进程还会复发
任务管理器都可以结束               ...

嘿嘿,我都阻止了,没事的。只结束不是复发吧,他没自启。只是系统被破坏而已
www-tekeze
发表于 2019-7-25 10:32:11 | 显示全部楼层

老毒了。。。火绒已做通杀,智量Heur杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-25 10:45:33 | 显示全部楼层
www-tekeze 发表于 2019-7-25 10:32
老毒了。。。火绒已做通杀,智量Heur杀!

双击玩玩。。。关闭绒智监控,首先被火绒系统加固拦截三次,全部放行被智量主防杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-25 10:47:04 | 显示全部楼层
www-tekeze 发表于 2019-7-25 10:45
双击玩玩。。。关闭绒智监控,首先被火绒系统加固拦截三次,全部放行被智量主防杀!

退出智量双击,后面还有两个动作,然后被火绒主防杀!(恶意行为监控)
这种破坏型的也想过火绒就比较难了。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Nocria
发表于 2019-7-25 10:50:42 | 显示全部楼层
G DATA killed.

  1. File: C:\Users\promi\AppData\Local\Temp\BNZ.5d3917ee28da0\π病毒\π.exe
  2. Junkware (PUP): Win32.Application.FlyStudio.F (Engine B)
  3. Engines: Engine A: AVA 25.22847, Engine B: GD 25.15634
复制代码


仅开启行为监控:
  1. AVA 25.22847
  2. GD 25.15634

  3. *** Process ***

  4. Process: 5680
  5. File name: π.exe
  6. Path: C:\Users\promi\AppData\Local\Temp\BNZ.5d39183c3bd17\π病毒\π.exe

  7. Publisher: Unknown publisher
  8. Creation date: 2018年7月3日 21:15:55
  9. Modification date: 2018年7月3日 21:29:42

  10. Started by: MpCmdRun.exe
  11. Publisher: Microsoft Corporation


  12. *** Actions ***

  13. The program is trying to create a startup item to launch a program automatically at system startup.
  14. The program has saved files in the system folder.
  15. The program has created or manipulated an executable file.
  16. The program has created or manipulated an executable file in the system folder.
  17. The program disables Windows Task Manager.


  18. *** Quarantine ***

  19. The following files were moved into quarantine:
  20. C:\ProgramData\Tencent\QQPinyin\6.1.5303.400local.stat
  21. C:\Users\promi\AppData\Local\Temp\BNZ.5d39183c3bd17\π病毒\π.exe
  22. C:\Windows\314.exe
  23. C:\Windows\deemo.exe

  24. The following registry entries were deleted:

  25. \registry\user\s-1-5-21-991177117-836654228-62314956-1001\software\microsoft\windows\currentversion\policies\system || disableregistrytools
  26. \registry\user\s-1-5-21-991177117-836654228-62314956-1001\software\microsoft\windows\currentversion\policies\system || disabletaskmgr

  27. YGLRfuLAcpJykmJi0HKicqJiYnAqdHJCJycmBrdycnJyYmKALCcnJycmBuhyknKSYmKQKxbtJ5eQLScJanKCcoJiYsAuJygnKCYG/HKCcoJiYvAoJyonKiYGdyonCYcrJyonKiYGpysXV2MtJxdXYy0nJga3KCcoJygmBrcqJwq3LCcnJycmBucoJwf3KCcHeCknB+grJysnKScIAA
  28. Rules version: 5.0.152
  29. OS: Windows 6.3 Service Pack 0.0 Build: 9600 - Workstation 64bit OS
  30. dll version: 76935

  31. "C:\Users\promi\AppData\Local\Temp\BNZ.5d39183c3bd17\π病毒\π.exe"
  32. MD5: 4B757EAF362D8A6AA9FC20E1FEFBDDA8
  33. "C:\Program Files\Windows Defender\mpcmdrun.exe" -wddisable
  34. MD5: 43131394028DAB1506A23DB188281C58
复制代码
记录微笑
发表于 2019-7-25 10:55:21 | 显示全部楼层
MES
扫描MISS,双击ATP杀
  1. 自适应威胁防护已修复 C:\Users\Sky\Desktop\π.exe,因为其信誉 (已知恶意文件) 低于配置的清理阈值
复制代码
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-21 16:00 , Processed in 0.060554 second(s), 15 queries .

快速回复 返回顶部 返回列表