感染病毒，数字全盘扫描安全

显示全部楼层 · 发表于 2019-8-20 22:53:49

本帖最后由约会大作战于 2019-8-22 11:48 编辑

昨天比较晚没好好编辑，重新叙述下，起因是U盘插入朋友的电脑后被感染病毒，打开盘符后发现文件夹被隐藏，且自动生成同名的文件夹.exe，手动删除刷新后又出现，360卫士全盘扫描安全，信任区已清空
感谢各位，已用360急救箱解决

样本：  https://www.lanzous.com/i5otgnc
            https://www.lanzous.com/i5otgla
            https://www.lanzous.com/i5otgkj
            https://www.lanzous.com/i5otged

显示全部楼层 · 发表于 2019-8-20 23:03:41

2019/8/20 星期二 23:02:45 底层磁盘写操作风险提示:高风险阻止
进程: d:\360安全浏览器下载\android.exe
目标: \Device\Ide\IdePort0
规则: [应用程序]*.exe
2019/8/20 星期二 23:02:51 删除文件风险提示:木马阻止
进程: c:\windows\system32\cmd.exe
目标: D:\360安全浏览器下载\CQ.bat
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.bat
2019/8/20 星期二 23:02:55 加载动态链接库风险提示:中等程度风险允许
进程: d:\360安全浏览器下载\android.exe
目标: c:\users\administrator\appdata\local\temp\e_n4\md5.fne
规则: [应用程序]* -> [动态链接库]*temp\*
2019/8/20 星期二 23:02:55 删除文件风险提示:木马阻止
进程: c:\windows\system32\cmd.exe
目标: D:\360安全浏览器下载\CQ.bat
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件]d:\360安全浏览器下载; cq.bat
2019/8/20 星期二 23:02:55 创建文件夹风险提示:低风险阻止
进程: d:\360安全浏览器下载\android.exe
目标: C:\autorun.inf
规则: [应用程序]?* -> [文件组]《保护》f210_《C盘根目录文件》 -> [文件]?:\; autorun.inf
2019/8/20 星期二 23:02:55 创建文件夹风险提示:低风险允许
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*
2019/8/20 星期二 23:03:02 设置文件夹隐藏属性风险提示:木马阻止
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*
2019/8/20 星期二 23:03:02 创建文件风险提示:低风险允许
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf\desktop.ini
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; desktop.ini
2019/8/20 星期二 23:03:02 设置文件隐藏属性风险提示:木马允许
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf\desktop.ini
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; desktop.ini
2019/8/20 星期二 23:03:02 创建文件夹风险提示:低风险允许
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf\文件免疫
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*
2019/8/20 星期二 23:03:06 设置文件夹隐藏属性风险提示:木马阻止
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf\文件免疫
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*
2019/8/20 星期二 23:03:06 修改文件夹风险提示:木马阻止
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\autorun.inf\文件免疫
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]d:\360安全浏览器下载\android.exe -> [文件]c:\program files\autorun.inf\*
2019/8/20 星期二 23:03:13 创建文件夹风险提示:低风险阻止并结束进程
进程: d:\360安全浏览器下载\android.exe
目标: C:\Program Files\Windows Media Player\autorun.inf
规则: [应用程序]?* -> [文件组]《坚固》f005_安全软件目录>a010 -> [文件]?:\program files\windows media player\*

复制代码

显示全部楼层 · 发表于 2019-8-20 23:04:05

本帖最后由 ELOHIM 于 2019-8-20 23:05 编辑

PWS:Win32/QQpass.CI
PWS:Win32/QQpass.CI
PWS:Win32/QQpass.CI
PWS:Win32/QQpass.CI

我是有多无聊。。。由WD检测。

楼主，你的这几个文件是不是一个文件啊？？？

显示全部楼层 · 发表于 2019-8-20 23:04:29

火绒

显示全部楼层 · 发表于 2019-8-20 23:06:54

Avast

显示全部楼层 · 发表于 2019-8-20 23:28:04

Avira

扫描开始时间： 2019-08-20 23:25:40
08/20/2019,23:25:42.289 [INFO] FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\Android.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:42.310 [INFO] C:\Users\Administrator\Downloads\新建文件夹\Android.exe
08/20/2019,23:25:42.311 [INFO] [DETECTION] file contains 'TR/Crypt.CFI.Gen'
08/20/2019,23:25:42.755 [INFO] FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\LOST.DIR.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:42.757 [INFO] C:\Users\Administrator\Downloads\新建文件夹\LOST.DIR.exe
08/20/2019,23:25:42.758 [INFO] [DETECTION] file contains 'TR/Crypt.CFI.Gen'
08/20/2019,23:25:43.145 [INFO] FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\System Volume Information.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:43.146 [INFO] C:\Users\Administrator\Downloads\新建文件夹\System Volume Information.exe
08/20/2019,23:25:43.147 [INFO] [DETECTION] file contains 'TR/Crypt.CFI.Gen'
08/20/2019,23:25:43.472 [INFO] FP 报告文件 'C:\Users\Administrator\Downloads\新建文件夹\视频.exe' 的“无误报”状态 [I:10, S:111]
08/20/2019,23:25:43.474 [INFO] C:\Users\Administrator\Downloads\新建文件夹\视频.exe
08/20/2019,23:25:43.475 [INFO] [DETECTION] file contains 'TR/Crypt.CFI.Gen'

HitmanPro 3.8.0.292

Computer name . . . . : QH-20150516EUNE
Windows . . . . . . . : 6.1.1.7601.X86/4
User name . . . . . . : QH-20150516EUNE\Administrator
UAC . . . . . . . . . : Disabled
License . . . . . . . : Paid (255 days left)

Scan date . . . . . . : 2019-08-20 23:25:43
Scan mode . . . . . . : Context
Scan duration . . . . : 32s
Disk access mode  . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot  . . . . . . . : Yes

Threats . . . . . . . : 4

Objects scanned . . . : 4
Files scanned . . . . : 4
Remnants scanned  . . : 0 files / 0 keys

Malware _____________________________________________________________________

C:\Users\Administrator\Downloads\新建文件夹\Android.exe -> PendingDelete
   Size . . . . . . . : 1,153,074 bytes
   Age  . . . . . . . : 0.0 days (2019-08-20 23:21:45)
   Entropy  . . . . . : 7.6
   SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
   Product  . . . . . : 文件夹
   Publisher  . . . . : 文件夹
   Description  . . . : 文件夹
   Version  . . . . . : 1.0.0.0
   LanguageID . . . . : 2052
> Bitdefender  . . . : Trojan.Agent.AOMS
> Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

C:\Users\Administrator\Downloads\新建文件夹\LOST.DIR.exe -> PendingDelete
   Size . . . . . . . : 1,153,074 bytes
   Age  . . . . . . . : 0.0 days (2019-08-20 23:21:57)
   Entropy  . . . . . : 7.6
   SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
   Product  . . . . . : 文件夹
   Publisher  . . . . : 文件夹
   Description  . . . : 文件夹
   Version  . . . . . : 1.0.0.0
   LanguageID . . . . : 2052
> Bitdefender  . . . : Trojan.Agent.AOMS
> Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

C:\Users\Administrator\Downloads\新建文件夹\System Volume Information.exe -> PendingDelete
   Size . . . . . . . : 1,153,074 bytes
   Age  . . . . . . . : 0.0 days (2019-08-20 23:22:14)
   Entropy  . . . . . : 7.6
   SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
   Product  . . . . . : 文件夹
   Publisher  . . . . : 文件夹
   Description  . . . : 文件夹
   Version  . . . . . : 1.0.0.0
   LanguageID . . . . : 2052
> Bitdefender  . . . : Trojan.Agent.AOMS
> Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

C:\Users\Administrator\Downloads\新建文件夹\视频.exe -> PendingDelete
   Size . . . . . . . : 1,153,074 bytes
   Age  . . . . . . . : 0.0 days (2019-08-20 23:22:36)
   Entropy  . . . . . : 7.6
   SHA-256  . . . . . : C896F154B2ED88C9D40513064F41DC10C8306F273388BF4D17A5C3BB1DDCE8C0
   Product  . . . . . : 文件夹
   Publisher  . . . . : 文件夹
   Description  . . . : 文件夹
   Version  . . . . . : 1.0.0.0
   LanguageID . . . . : 2052
> Bitdefender  . . . : Trojan.Agent.AOMS
> Kaspersky  . . . . : Trojan-PSW.Win32.QQPass.qlk

显示全部楼层 · 发表于 2019-8-21 00:15:05

智量Heur清空，火绒全部报蠕虫，同种被感染文件。

显示全部楼层 · 发表于 2019-8-21 00:15:48

卡巴清空
麻烦下次样本打包再传吧... 有一个样本手抽没点保存点了打开幸亏拦下来了

显示全部楼层 · 发表于 2019-8-21 00:23:02

安天报蠕虫，管家无BD报QQ盗号木马。。

显示全部楼层 · 发表于 2019-8-21 00:30:49

趋势 WORM_QQPASS.AB

[病毒样本] 感染病毒，数字全盘扫描安全

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源