查看: 1238|回复: 13
收起左侧

[病毒样本] QNAPCrypt 18X

[复制链接]
hsks
发表于 2021-8-11 17:49:59 | 显示全部楼层 |阅读模式
hyx2230
发表于 2021-8-11 17:51:48 | 显示全部楼层
本帖最后由 hyx2230 于 2021-8-11 17:54 编辑

火绒清空

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hipoxiaxxx
发表于 2021-8-11 17:54:00 | 显示全部楼层
本帖最后由 hipoxiaxxx 于 2021-8-11 18:03 编辑

FSCS 16x
无法打开文件 C:\Users\dwdwd\Desktop\4TOseUKB_18X\0e4534d015c4e6691ff3920b19c93d63c61a0f36497cb0861a149999b61b98e1.elf
无法打开文件 C:\Users\dwdwd\Desktop\4TOseUKB_18X\23573986f688e79305cb81a10f5999dea8a709e708493b492430e213d6823759.elf

a233
发表于 2021-8-11 17:55:52 | 显示全部楼层
AhnLab 17x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
正在缓冲
头像被屏蔽
发表于 2021-8-11 17:56:19 | 显示全部楼层
Kaspersky kill all

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
蓝雨风暴
发表于 2021-8-11 18:09:16 | 显示全部楼层
EMSI清空

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
anthonyqian
发表于 2021-8-11 18:13:13 | 显示全部楼层
本帖最后由 anthonyqian 于 2021-8-11 18:16 编辑

诺顿13个,全部都是Backdoor.Trojan  剩下的不知道为什么不杀,因为VT上Symantec全都报了。

还附带修复流程。。。
文件操作

文件: C:\Users\\AppData\Local\virtualstore\Program Files (x86)\Windows NT\Microsoft\ 360wpsrv.exe 不需要操作
文件: C:\Program Files (x86)\Windows NT\Microsoft\ 360wpsrv.exe 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files\Windows NT\Microsoft\ 360wpsrv.exe 不需要操作
文件: C:\Program Files\Windows NT\Microsoft\ 360wpsrv.exe 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files (x86)\Windows NT\Microsoft\ crt.dll 不需要操作
文件: C:\Program Files (x86)\Windows NT\Microsoft\ crt.dll 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files\Windows NT\Microsoft\ crt.dll 不需要操作
文件: C:\Program Files\Windows NT\Microsoft\ crt.dll 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files (x86)\AppPatch\ NetSyst81.dll 不需要操作
文件: C:\Program Files (x86)\AppPatch\ NetSyst81.dll 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files\AppPatch\ NetSyst81.dll 不需要操作
文件: C:\Program Files\AppPatch\ NetSyst81.dll 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\servicin\ muaa.txt 不需要操作
文件: C:\WINDOWS\servicin\ muaa.txt 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\servicin\ suv12.ini 不需要操作
文件: C:\WINDOWS\servicin\ suv12.ini 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\servicin\ tugu.txt 不需要操作
文件: C:\WINDOWS\servicin\ tugu.txt 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\servicin\ zihu.txt 不需要操作
文件: C:\WINDOWS\servicin\ zihu.txt 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files (x86)\Windows NT\ UpDate.exe 不需要操作
文件: C:\Program Files (x86)\Windows NT\ UpDate.exe 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\Program Files\Windows NT\ UpDate.exe 不需要操作
文件: C:\Program Files\Windows NT\ UpDate.exe 不需要操作
文件: C:\Users\\AppData\Local\Temp\ Tarun.exe 不需要操作
文件: C:\Users\\AppData\Local\Temp\ notepaa.exe 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\SysWOW64\ blognew.ini 不需要操作
文件: C:\WINDOWS\SysWOW64\ blognew.ini 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\system32\ blognew.ini 不需要操作
文件: C:\WINDOWS\system32\ blognew.ini 不需要操作
文件: C:\Users\\AppData\Local\Temp\ hosts 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\ clear.bat 不需要操作
文件: C:\WINDOWS\ clear.bat 不需要操作
文件: C:\Users\\AppData\Local\Temp\ Install.bat 不需要操作
文件: C:\Users\\AppData\Local\Temp\ XPPROVLK.reg 不需要操作
文件: C:\Users\\AppData\Local\virtualstore\WINDOWS\system\ krot.hue 不需要操作
文件: C:\WINDOWS\system\ krot.hue 不需要操作
文件: C:\Users\\AppData\Roaming\asobex\ asl.avf 不需要操作
文件: C:\HP_Color_LaserJet_Enterprise_M750\ sss.dat 不需要操作
文件: C:\HP_Color_LaserJet_Enterprise_M750\ update.exe 不需要操作
受感染文件: C:\Users\\Desktop\新建文件夹 (3)\ 4691946e508348f458da1b1a7617d55d3fa4dc9679fff39993853e018fc28f8e.elf 不需要操作
受感染文件: C:\Users\\Desktop\新建文件夹 (3)\ 7fa8ebcccde118986c4fd4a0f61ca7e513d1c2e28a6efdf183c10204550d87ce.elf 不需要操作
受感染文件: C:\Users\\Desktop\新建文件夹 (3)\ 36cfb1a7c971041c9483e4f4e092372c9c1ab792cd9de7b821718ccd0dbb09c1.elf 不需要操作
受感染文件: C:\Users\\Desktop\新建文件夹 (3)\ 9f9bbbc80a2035df99abd60dc26e9b068b63e5fcc498e700b8cc6640ca39261b.elf 不需要操作
受感染文件: C:\Users\\Desktop\新建文件夹 (3)\ 551e03e17d1df9bd5b712bec7763578c01e7bffe9b93db246e36ec0a174f7467.elf 不需要操作
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile->DoNotAllowExceptions:1, 注册表配置单元: 32 位 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile->DoNotAllowExceptions:1, 注册表配置单元: 64 位 已修复
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ ->EnableLUA:1 已修复
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\ Run->360WallPaper 不需要操作
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\ Run->360WallPaper 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-239504248-728871594-4229630258-1001\Software\Microsoft\Windows\CurrentVersion\ Run->360WallPaper 不需要操作
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\ Run->360WallPaper 不需要操作
注册表更改: HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\ DbxUpdateBT 不需要操作
注册表更改: HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\ DbxUpdateBT 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-239504248-728871594-4229630258-1001\Software\Microsoft\Windows\ DbxUpdateBT 不需要操作
注册表更改: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ DbxUpdateBT 不需要操作
____________________________

网络操作

网络更改: Hosts 文件: #block wga 不需要操作
网络更改: Hosts 文件: 127.0.0.1:mpa.one.microsoft.com 不需要操作
____________________________

可疑操作

服务更改: DbSecuritySpt 不需要操作
服务更改: NetSyst81 不需要操作
____________________________

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心醉咖啡
发表于 2021-8-11 19:05:56 | 显示全部楼层
毒霸0
心心相印
发表于 2021-8-11 19:11:38 | 显示全部楼层
Avira kill all
MrDeep
发表于 2021-8-11 19:19:36 | 显示全部楼层
anthonyqian 发表于 2021-8-11 18:13
诺顿13个,全部都是Backdoor.Trojan  剩下的不知道为什么不杀,因为VT上Symantec全都报了。

还附带修复 ...

诺顿Mac 扫描1X ,难道特征库不一样?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:18 , Processed in 0.138403 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表