搜索
查看: 2995|回复: 38
收起左侧

[病毒样本] 感染病毒,数字全盘扫描安全

  [复制链接]
约会大作战
发表于 2019-8-20 22:53:49 | 显示全部楼层 |阅读模式
本帖最后由 约会大作战 于 2019-8-22 11:48 编辑

昨天比较晚没好好编辑,重新叙述下,起因是U盘插入朋友的电脑后被感染病毒,打开盘符后发现文件夹被隐藏,且自动生成同名的文件夹.exe,手动删除刷新后又出现,360卫士全盘扫描安全,信任区已清空
感谢各位,已用360急救箱解决

样本:  https://www.lanzous.com/i5otgnc            
              https://www.lanzous.com/i5otgla
              https://www.lanzous.com/i5otgkj
              https://www.lanzous.com/i5otged





   













评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

左手
发表于 2019-8-20 23:03:41 | 显示全部楼层
  1. 2019/8/20 星期二 23:02:45    底层磁盘写操作 风险提示:高风险    阻止
  2. 进程: d:\360安全浏览器下载\android.exe
  3. 目标: \Device\Ide\IdePort0
  4. 规则: [应用程序]*.exe

  5. 2019/8/20 星期二 23:02:51    删除文件 风险提示:木马    阻止
  6. 进程: c:\windows\system32\cmd.exe
  7. 目标: D:\360安全浏览器下载\CQ.bat
  8. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat

  9. 2019/8/20 星期二 23:02:55    加载动态链接库 风险提示:中等程度风险    允许
  10. 进程: d:\360安全浏览器下载\android.exe
  11. 目标: c:\users\administrator\appdata\local\temp\e_n4\md5.fne
  12. 规则: [应用程序]* -> [动态链接库]*temp\*

  13. 2019/8/20 星期二 23:02:55    删除文件 风险提示:木马    阻止
  14. 进程: c:\windows\system32\cmd.exe
  15. 目标: D:\360安全浏览器下载\CQ.bat
  16. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件]d:\360安全浏览器下载; cq.bat

  17. 2019/8/20 星期二 23:02:55    创建文件夹 风险提示:低风险    阻止
  18. 进程: d:\360安全浏览器下载\android.exe
  19. 目标: C:\autorun.inf
  20. 规则: [应用程序]?* -> [文件组]《保护》f210_《C盘根目录文件》 -> [文件]?:\; autorun.inf

  21. 2019/8/20 星期二 23:02:55    创建文件夹 风险提示:低风险    允许
  22. 进程: d:\360安全浏览器下载\android.exe
  23. 目标: C:\Program Files\autorun.inf
  24. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  25. 2019/8/20 星期二 23:03:02    设置文件夹隐藏属性 风险提示:木马    阻止
  26. 进程: d:\360安全浏览器下载\android.exe
  27. 目标: C:\Program Files\autorun.inf
  28. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  29. 2019/8/20 星期二 23:03:02    创建文件 风险提示:低风险    允许
  30. 进程: d:\360安全浏览器下载\android.exe
  31. 目标: C:\Program Files\autorun.inf\desktop.ini
  32. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; desktop.ini

  33. 2019/8/20 星期二 23:03:02    设置文件隐藏属性 风险提示:木马    允许
  34. 进程: d:\360安全浏览器下载\android.exe
  35. 目标: C:\Program Files\autorun.inf\desktop.ini
  36. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; desktop.ini

  37. 2019/8/20 星期二 23:03:02    创建文件夹 风险提示:低风险    允许
  38. 进程: d:\360安全浏览器下载\android.exe
  39. 目标: C:\Program Files\autorun.inf\文件免疫
  40. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  41. 2019/8/20 星期二 23:03:06    设置文件夹隐藏属性 风险提示:木马    阻止
  42. 进程: d:\360安全浏览器下载\android.exe
  43. 目标: C:\Program Files\autorun.inf\文件免疫
  44. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  45. 2019/8/20 星期二 23:03:06    修改文件夹 风险提示:木马    阻止
  46. 进程: d:\360安全浏览器下载\android.exe
  47. 目标: C:\Program Files\autorun.inf\文件免疫
  48. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]d:\360安全浏览器下载\android.exe -> [文件]c:\program files\autorun.inf\*

  49. 2019/8/20 星期二 23:03:13    创建文件夹 风险提示:低风险    阻止并结束进程
  50. 进程: d:\360安全浏览器下载\android.exe
  51. 目标: C:\Program Files\Windows Media Player\autorun.inf
  52. 规则: [应用程序]?* -> [文件组]《坚固》f005_安全软件目录>a010 -> [文件]?:\program files\windows media player\*

复制代码

评分

参与人数 2人气 +2 收起 理由
yjwfdc + 1 版区有你更精彩: )
约会大作战 + 1 感谢解答: )

查看全部评分

ELOHIM
发表于 2019-8-20 23:04:05 | 显示全部楼层
本帖最后由 ELOHIM 于 2019-8-20 23:05 编辑

PWS:Win32/QQpass.CI
PWS:Win32/QQpass.CI
PWS:Win32/QQpass.CI
PWS:Win32/QQpass.CI

我是有多无聊。。。由WD检测。

楼主,你的这几个文件是不是一个文件啊???
a233
发表于 2019-8-20 23:04:29 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
约会大作战 + 1 感谢解答: )

查看全部评分

a233
发表于 2019-8-20 23:06:54 | 显示全部楼层
Avast

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
约会大作战 + 1 感谢解答: )

查看全部评分

椿花湫月
发表于 2019-8-20 23:28:04 | 显示全部楼层
Avira

扫描开始时间: 2019-08-20 23:25:40
08/20/2019,23:25:42.289        [INFO]        FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\Android.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:42.310        [INFO]        C:\Users\Administrator\Downloads\新建文件夹\Android.exe
08/20/2019,23:25:42.311        [INFO]        [DETECTION] file contains 'TR/Crypt.CFI.Gen'
08/20/2019,23:25:42.755        [INFO]        FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\LOST.DIR.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:42.757        [INFO]        C:\Users\Administrator\Downloads\新建文件夹\LOST.DIR.exe
08/20/2019,23:25:42.758        [INFO]        [DETECTION] file contains 'TR/Crypt.CFI.Gen'
08/20/2019,23:25:43.145        [INFO]        FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\System Volume Information.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:43.146        [INFO]        C:\Users\Administrator\Downloads\新建文件夹\System Volume Information.exe
08/20/2019,23:25:43.147        [INFO]        [DETECTION] file contains 'TR/Crypt.CFI.Gen'
08/20/2019,23:25:43.472        [INFO]        FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\视频.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:43.474        [INFO]        C:\Users\Administrator\Downloads\新建文件夹\视频.exe
08/20/2019,23:25:43.475        [INFO]        [DETECTION] file contains 'TR/Crypt.CFI.Gen'


HitmanPro 3.8.0.292

   Computer name . . . . : QH-20150516EUNE
   Windows . . . . . . . : 6.1.1.7601.X86/4
   User name . . . . . . : QH-20150516EUNE\Administrator
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Paid (255 days left)

   Scan date . . . . . . : 2019-08-20 23:25:43
   Scan mode . . . . . . : Context
   Scan duration . . . . : 32s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes

   Threats . . . . . . . : 4

   Objects scanned . . . : 4
   Files scanned . . . . : 4
   Remnants scanned  . . : 0 files / 0 keys

Malware _____________________________________________________________________

   C:\Users\Administrator\Downloads\新建文件夹\Android.exe -> PendingDelete
      Size . . . . . . . : 1,153,074 bytes
      Age  . . . . . . . : 0.0 days (2019-08-20 23:21:45)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
      Product  . . . . . : 文件夹
      Publisher  . . . . : 文件夹
      Description  . . . : 文件夹
      Version  . . . . . : 1.0.0.0
      LanguageID . . . . : 2052
    > Bitdefender  . . . : Trojan.Agent.AOMS
    > Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

   C:\Users\Administrator\Downloads\新建文件夹\LOST.DIR.exe -> PendingDelete
      Size . . . . . . . : 1,153,074 bytes
      Age  . . . . . . . : 0.0 days (2019-08-20 23:21:57)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
      Product  . . . . . : 文件夹
      Publisher  . . . . : 文件夹
      Description  . . . : 文件夹
      Version  . . . . . : 1.0.0.0
      LanguageID . . . . : 2052
    > Bitdefender  . . . : Trojan.Agent.AOMS
    > Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

   C:\Users\Administrator\Downloads\新建文件夹\System Volume Information.exe -> PendingDelete
      Size . . . . . . . : 1,153,074 bytes
      Age  . . . . . . . : 0.0 days (2019-08-20 23:22:14)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
      Product  . . . . . : 文件夹
      Publisher  . . . . : 文件夹
      Description  . . . : 文件夹
      Version  . . . . . : 1.0.0.0
      LanguageID . . . . : 2052
    > Bitdefender  . . . : Trojan.Agent.AOMS
    > Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

   C:\Users\Administrator\Downloads\新建文件夹\视频.exe -> PendingDelete
      Size . . . . . . . : 1,153,074 bytes
      Age  . . . . . . . : 0.0 days (2019-08-20 23:22:36)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
      Product  . . . . . : 文件夹
      Publisher  . . . . : 文件夹
      Description  . . . : 文件夹
      Version  . . . . . : 1.0.0.0
      LanguageID . . . . : 2052
    > Bitdefender  . . . : Trojan.Agent.AOMS
    > Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk
www-tekeze
发表于 2019-8-21 00:15:05 | 显示全部楼层

智量Heur清空,火绒全部报蠕虫,同种被感染文件。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
saleniy35
发表于 2019-8-21 00:15:48 | 显示全部楼层
卡巴清空
麻烦下次样本打包再传吧... 有一个样本手抽没点保存点了打开 幸亏拦下来了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-8-21 00:23:02 | 显示全部楼层
安天报蠕虫,管家无BD报QQ盗号木马。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
N卡网速快
发表于 2019-8-21 00:30:49 | 显示全部楼层
趋势        WORM_QQPASS.AB
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-13 18:24 , Processed in 0.095253 second(s), 19 queries .

快速回复 返回顶部 返回列表