收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Π病毒
123下一页
返回列表 发新帖
楼主: 我是电脑迷
 收起左侧

[病毒样本] Π病毒

[复制链接]
温馨小屋
头像被屏蔽
发表于 2019-7-25 10:07:55 | 显示全部楼层
卡巴斯基

本想加壳测一下主防,结果被通用启发命中了。。。



25.07.2019 10.06.45;检测到的对象 ( 文件 ) 已删除;Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe;Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe;HEUR:Trojan.Win32.Generic



25.07.2019 10.06.45;检测到的对象( 文件 );Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe//#;Z:\[密码:3.14]π,圆周率病毒\π病毒\π.exe//#;VHO:Trojan-Downloader.Win32.Tiny.gen



回复

举报

我是电脑迷
 楼主| 发表于 2019-7-25 10:08:16 | 显示全部楼层
swizzer 发表于 2019-7-25 10:03
你到底是在说哪个。。。

sorry,打错了
回复

举报

swizzer
发表于 2019-7-25 10:10:40 | 显示全部楼层
智速安全助手:Heur.Trojan.200b
动作可真大,跟昨天的还差不多。。。
2019\7\25 星期四 10:08:22    创建文件    阻止
进程: f:\$1area\π病毒\π11.exe
目标: C:\Windows\deemo.exe
规则: [应用程序组]【授权】高限制组 -> [文件组]全局高危文件

2019\7\25 星期四 10:08:22    创建文件    阻止
进程: f:\$1area\π病毒\π11.exe
目标: C:\Windows\314.exe
规则: [应用程序组]【授权】高限制组 -> [文件组]全局高危文件

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.txt
值: jpegfile
规则: [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.txt*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.inf
值: jpegfile
规则: [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.inf*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cmd
值: jpegfile
规则: [注册表组]重要关联Ⅱ -> [注册表]*\Classes\.cmd*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: 0x00000000(0)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\System; DisableRegistryTools

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoControlPanel

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
值: 0x00000000(0)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\System; DisableTaskMgr

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
值: 0xffffffff(4294967295)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
值: 0xffffffff(4294967295)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
值: 0x00000001(1)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoFolderOptions

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer; NoClose

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    创建注册表项    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFavorites
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoPrinting
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoViewSource
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Policies\*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRealMode
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    修改注册表值    阻止
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
值: 0x00000001(1)
规则: [注册表组]重要设置 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Policies*

2019\7\25 星期四 10:08:22    删除注册表值    阻止并结束进程
进程: f:\$1area\π病毒\π11.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay
规则: [注册表组]秒杀高危 -> [注册表]*\System\*controlset*\Control\Safeboot*

回复

举报

我是电脑迷
 楼主| 发表于 2019-7-25 10:19:55 | 显示全部楼层
swizzer 发表于 2019-7-25 10:10
智速安全助手:Heur.Trojan.200b
动作可真大,跟昨天的还差不多。。。
2019\7\25 星期四 10:08:22    创 ...

这个趁他还没爆发可以挽救,先结束进程再手修,只结束进程还会复发
任务管理器都可以结束                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     
回复

举报

swizzer
发表于 2019-7-25 10:22:50 | 显示全部楼层
我是电脑迷 发表于 2019-7-25 10:19
这个趁他还没爆发可以挽救,先结束进程再手修,只结束进程还会复发
任务管理器都可以结束               ...

嘿嘿,我都阻止了,没事的。只结束不是复发吧,他没自启。只是系统被破坏而已
回复

举报

www-tekeze
发表于 2019-7-25 10:32:11 | 显示全部楼层

老毒了。。。火绒已做通杀,智量Heur杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2019-7-25 10:45:33 | 显示全部楼层
www-tekeze 发表于 2019-7-25 10:32
老毒了。。。火绒已做通杀,智量Heur杀!

双击玩玩。。。关闭绒智监控,首先被火绒系统加固拦截三次,全部放行被智量主防杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2019-7-25 10:47:04 | 显示全部楼层
www-tekeze 发表于 2019-7-25 10:45
双击玩玩。。。关闭绒智监控,首先被火绒系统加固拦截三次,全部放行被智量主防杀!

退出智量双击,后面还有两个动作,然后被火绒主防杀!(恶意行为监控)
这种破坏型的也想过火绒就比较难了。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Nocria
发表于 2019-7-25 10:50:42 | 显示全部楼层
G DATA killed.

  1. File: C:\Users\promi\AppData\Local\Temp\BNZ.5d3917ee28da0\π病毒\π.exe
  2. Junkware (PUP): Win32.Application.FlyStudio.F (Engine B)
  3. Engines: Engine A: AVA 25.22847, Engine B: GD 25.15634
复制代码


仅开启行为监控:
  1. AVA 25.22847
  2. GD 25.15634

  4. *** Process ***

  6. Process: 5680
  7. File name: π.exe
  8. Path: C:\Users\promi\AppData\Local\Temp\BNZ.5d39183c3bd17\π病毒\π.exe

  10. Publisher: Unknown publisher
  11. Creation date: 2018年7月3日 21:15:55
  12. Modification date: 2018年7月3日 21:29:42

  14. Started by: MpCmdRun.exe
  15. Publisher: Microsoft Corporation


  18. *** Actions ***

  20. The program is trying to create a startup item to launch a program automatically at system startup.
  21. The program has saved files in the system folder.
  22. The program has created or manipulated an executable file.
  23. The program has created or manipulated an executable file in the system folder.
  24. The program disables Windows Task Manager.


  27. *** Quarantine ***

  29. The following files were moved into quarantine:
  30. C:\ProgramData\Tencent\QQPinyin\6.1.5303.400local.stat
  31. C:\Users\promi\AppData\Local\Temp\BNZ.5d39183c3bd17\π病毒\π.exe
  32. C:\Windows\314.exe
  33. C:\Windows\deemo.exe

  35. The following registry entries were deleted:

  37. \registry\user\s-1-5-21-991177117-836654228-62314956-1001\software\microsoft\windows\currentversion\policies\system || disableregistrytools
  38. \registry\user\s-1-5-21-991177117-836654228-62314956-1001\software\microsoft\windows\currentversion\policies\system || disabletaskmgr

  40. YGLRfuLAcpJykmJi0HKicqJiYnAqdHJCJycmBrdycnJyYmKALCcnJycmBuhyknKSYmKQKxbtJ5eQLScJanKCcoJiYsAuJygnKCYG/HKCcoJiYvAoJyonKiYGdyonCYcrJyonKiYGpysXV2MtJxdXYy0nJga3KCcoJygmBrcqJwq3LCcnJycmBucoJwf3KCcHeCknB+grJysnKScIAA
  41. Rules version: 5.0.152
  42. OS: Windows 6.3 Service Pack 0.0 Build: 9600 - Workstation 64bit OS
  43. dll version: 76935

  45. "C:\Users\promi\AppData\Local\Temp\BNZ.5d39183c3bd17\π病毒\π.exe"
  46. MD5: 4B757EAF362D8A6AA9FC20E1FEFBDDA8
  47. "C:\Program Files\Windows Defender\mpcmdrun.exe" -wddisable
  48. MD5: 43131394028DAB1506A23DB188281C58
复制代码
回复

举报

记录微笑
发表于 2019-7-25 10:55:21 | 显示全部楼层
MES
扫描MISS,双击ATP杀
  1. 自适应威胁防护已修复 C:\Users\Sky\Desktop\π.exe,因为其信誉 (已知恶意文件) 低于配置的清理阈值
复制代码
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-24 11:40 , Processed in 0.113571 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表