本帖最后由 wwwab 于 2021-2-17 15:29 编辑
双击情况:
操作系统:Windows Server 2019 数据中心版 64位
杀毒软件:微点(默认设置)、火绒(关闭文件实时防护)
运行:XTH 4th VIRUS.exe
结果:微点主防删除1个可疑bat,火绒主防系统加固防护了6次注册表项
重启前现象:
1.微点无故退出,不断弹出cmd(后面手动再次启动微点)
2.可任务栏手动关闭4个木马程序以及所有cmd窗口,被我关掉了(关闭后发现cmd一直在删除文件,可能还关得有点儿快了)3. 时间变成6666-06-06 00:00,火绒的“保护天数”变成了上万天(联网校时后便可恢复正常)
重启后现象:
1.可正常开关机,上网正常
2.桌面一片空白,部分文件丢失
3.杀毒软件在托盘内成功自启,可打开
4.任务栏图标正常
5.火绒丢失驱动
6.任务栏上面的软件均可正常打开
7.如图……
8.通过火绒剑可正常打开桌面的路径并向里面读写文件。但是向里面复制文件以后,真正的桌面上面依然是一片空白。
火绒日志:
- 【1】6666-06-06 00:00:20,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
- 防护项目:常用文件关联项
- 操作类型:修改
- 数据内容:jpegfile
- 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\
- 操作结果:已阻止
- 进程ID:6228
- 操作进程:C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
- 操作进程命令行:"C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
- 操作进程校验和:340279EEC34EAA25931F62C4F853E2693D79019D
- 父进程ID:2508
- 父进程:C:\Windows\Explorer.EXE
- 父进程命令行:C:\Windows\Explorer.EXE
- >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
- 【2】6666-06-06 00:00:19,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
- 防护项目:SafeBoot配置项
- 操作类型:删除
- 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\
- 操作结果:已阻止
- 进程ID:6228
- 操作进程:C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
- 操作进程命令行:"C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
- 操作进程校验和:340279EEC34EAA25931F62C4F853E2693D79019D
- 父进程ID:2508
- 父进程:C:\Windows\Explorer.EXE
- 父进程命令行:C:\Windows\Explorer.EXE
- >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
- 【3】6666-06-06 00:00:18,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
- 防护项目:IE首页锁定配置项
- 操作类型:修改
- 数据内容:0x00000001 (1)
- 目标注册表:HKEY_USERS\S-1-5-21-2537623903-15215564-2455928708-500\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
- 操作结果:已阻止
- 进程ID:6228
- 操作进程:C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
- 操作进程命令行:"C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
- 操作进程校验和:340279EEC34EAA25931F62C4F853E2693D79019D
- 父进程ID:2508
- 父进程:C:\Windows\Explorer.EXE
- 父进程命令行:C:\Windows\Explorer.EXE
- >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
- 【4】6666-06-06 00:00:17,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
- 防护项目:注册表编辑器屏蔽配置项
- 操作类型:修改
- 数据内容:0x00000001 (1)
- 目标注册表:HKEY_USERS\S-1-5-21-2537623903-15215564-2455928708-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
- 操作结果:已阻止
- 进程ID:6228
- 操作进程:C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
- 操作进程命令行:"C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
- 操作进程校验和:340279EEC34EAA25931F62C4F853E2693D79019D
- 父进程ID:2508
- 父进程:C:\Windows\Explorer.EXE
- 父进程命令行:C:\Windows\Explorer.EXE
- >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
- 【5】6666-06-06 00:00:15,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
- 防护项目:任务管理器屏蔽配置项
- 操作类型:修改
- 数据内容:0x00000001 (1)
- 目标注册表:HKEY_USERS\S-1-5-21-2537623903-15215564-2455928708-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
- 操作结果:已阻止
- 进程ID:6228
- 操作进程:C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
- 操作进程命令行:"C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
- 操作进程校验和:340279EEC34EAA25931F62C4F853E2693D79019D
- 父进程ID:2508
- 父进程:C:\Windows\Explorer.EXE
- 父进程命令行:C:\Windows\Explorer.EXE
- >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
- 【6】6666-06-06 00:00:14,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
- 防护项目:常用文件关联项
- 操作类型:修改
- 数据内容:jpegfile
- 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\
- 操作结果:已阻止
- 进程ID:6228
- 操作进程:C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
- 操作进程命令行:"C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
- 操作进程校验和:340279EEC34EAA25931F62C4F853E2693D79019D
- 父进程ID:2508
- 父进程:C:\Windows\Explorer.EXE
- 父进程命令行:C:\Windows\Explorer.EXE
- >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
复制代码
|