楼主: kkfans66
收起左侧

[病毒样本] 感觉中招了,可是火绒和360都扫描不出木马病毒

  [复制链接]
安全测评
发表于 2024-5-10 20:07:52 | 显示全部楼层

创建傀儡进程cmd,然后注入explorer进行恶意行为,使用冰盾可以直接拦截这些恶意行为。
杀毒软件是基于特征的,很多病毒会特意做免杀,所以一些杀毒软件病毒库更新不及时是没法拦截的,只能等更新,但是HIPS基于行为的无论怎么伪造,都可以拦截。
123fourf
发表于 2024-5-10 20:40:27 | 显示全部楼层

这个是github上下载的,有什么举报之类的途径吗?
wwwab
发表于 2024-5-10 20:44:33 | 显示全部楼层
火绒6.0:

  1. 【1】2024-05-10 20:40:03,病毒防护,内存防护,发现病毒Backdoor/Remcos.k, 暂不处理

  2. 病毒名称:Backdoor/Remcos.k
  3. 病毒ID:CA6D276341E73D30
  4. 虚拟地址:0x00000000004D0000
  5. 映像大小:524KB
  6. 是否完整映像:是
  7. 数据流哈希:1242d733
  8. 操作结果:暂不处理
  9. 进程ID:1548
  10. 操作进程:C:\Windows\SysWOW64\explorer.exe
  11. 操作进程命令行:C:\Windows\SysWOW64\explorer.exe
  12. 父进程ID:5716
  13. 父进程:C:\Windows\SysWOW64\cmd.exe
  14. 父进程命令行:C:\Windows\SysWOW64\cmd.exe
  15. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  16. 【2】2024-05-10 20:39:30,系统防护,系统加固,svchost.exe触犯文件防护规则, 已阻止

  17. 防护项目:启动目录
  18. 目标文件:C:\Users\Serendipity\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svcultra_test.lnk
  19. 操作结果:已阻止
  20. 进程ID:1388
  21. 操作进程:C:\Windows\System32\svchost.exe
  22. 操作进程命令行:C:\Windows\System32\svchost.exe -k netsvcs -p -s BITS
  23. 操作进程校验和:445F5F38365AF88EC29B357F4696F0E3EE50A1D8
  24. 父进程ID:940
  25. 父进程:C:\Windows\System32\services.exe
  26. 父进程命令行:C:\Windows\system32\services.exe
  27. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
复制代码
  1. 病毒详情:
  2. 风险路径:mem://4652-0x3f0d6d73-0x6d0000-C:\Windows\SysWOW64\explorer.exe, 病毒名:Backdoor/Remcos.k, 病毒ID:ca6d276341e73d30, 处理结果:处理失败,SFC进程未处理
复制代码
kkfans66
 楼主| 发表于 2024-5-10 20:54:09 | 显示全部楼层
安全测评 发表于 2024-5-10 20:07
创建傀儡进程cmd,然后注入explorer进行恶意行为,使用冰盾可以直接拦截这些恶意行为。
杀毒软件是基于 ...

那我现在机器如何能完全清除这个病毒
scottxzt
发表于 2024-5-10 21:28:14 | 显示全部楼层
kkfans66 发表于 2024-5-10 20:54
那我现在机器如何能完全清除这个病毒

等360,卡巴可以查杀后,再全盘扫描试试。清毒都不是杀软的强项。如果有关键文件被感染还要替换,先备份一下自己电脑里的重要文件吧
biue
发表于 2024-5-10 22:47:38 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kkfans66
 楼主| 发表于 2024-5-10 23:13:40 | 显示全部楼层
scottxzt 发表于 2024-5-10 21:28
等360,卡巴可以查杀后,再全盘扫描试试。清毒都不是杀软的强项。如果有关键文件被感染还要替换,先备份 ...

意思要重做系统了
scottxzt
发表于 2024-5-10 23:55:00 | 显示全部楼层
本帖最后由 scottxzt 于 2024-5-11 00:01 编辑
kkfans66 发表于 2024-5-10 23:13
意思要重做系统了

目前不至于,先删除病毒生成的EXE文件  DLL文件,解决注入explorer的问题(可能需要替换正常文件),这些你在网上查查,之后用卡巴和360卫士查杀,估计你电脑里有其它下载下来的木马。资料还是要备份的,万一在查杀的过程碰到系统蓝屏或者进不了系统,就麻烦了。
我也不是专业人士,只是个业余爱好者,仅供参考。


kkfans66
 楼主| 发表于 2024-5-11 00:04:54 | 显示全部楼层
scottxzt 发表于 2024-5-10 23:55
目前不至于,先删除病毒生成的EXE文件  DLL文件,解决注入explorer的问题(可能需要替换正常文件),这些 ...

好的,那我先试试看
BowenKF
发表于 2024-5-11 08:42:08 | 显示全部楼层
主力机不要随便下载安装软件,先在测试机或虚拟机里跑跑,没办法,不安全啊!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:32 , Processed in 0.101055 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表