有没有大佬帮忙看下这个哈勃数据,电脑中了这个病毒,是不是数据都已经丢了
关键行为行为描述: 设置特殊文件夹属性
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
C:\Documents and Settings\Administrator\IETldCache
行为描述: 直接获取CPU时钟
详情信息:
EAX = 0x6b647cd3, EDX = 0x000000b9
EAX = 0x7e49776f, EDX = 0x000000b9
EAX = 0x7e4977bb, EDX = 0x000000b9
EAX = 0x9159a24a, EDX = 0x000000b9
行为描述: 获取TickCount值
详情信息:
TickCount = 279515, SleepMilliseconds = 60000.
TickCount = 279562, SleepMilliseconds = 60000.
TickCount = 279671, SleepMilliseconds = 60000.
TickCount = 279687, SleepMilliseconds = 60000.
TickCount = 279828, SleepMilliseconds = 60000.
TickCount = 279890, SleepMilliseconds = 60000.
TickCount = 280000, SleepMilliseconds = 60000.
TickCount = 280015, SleepMilliseconds = 60000.
TickCount = 280031, SleepMilliseconds = 60000.
TickCount = 280046, SleepMilliseconds = 60000.
TickCount = 280062, SleepMilliseconds = 60000.
TickCount = 280078, SleepMilliseconds = 60000.
TickCount = 280093, SleepMilliseconds = 60000.
TickCount = 280109, SleepMilliseconds = 60000.
TickCount = 280140, SleepMilliseconds = 60000.
进程行为
创建本地线程
文件行为
创建文件
创建可执行文件
覆盖已有文件
查找文件
删除文件
网络行为
下载文件
连接指定站点
打开HTTP连接
建立到一个指定的套接字连接
读取网络文件
发送HTTP包
打开HTTP请求
按名称获取主机地址
注册表行为
修改注册表
删除注册表键值
其他行为
获取光标位置
创建互斥体
创建事件对象
窗口信息
直接获取CPU时钟
查找指定窗口
打开事件
获取TickCount值
调整进程token权限
枚举窗口
可执行文件签名信息
调用Sleep函数
隐藏指定窗口
可执行文件MD5
打开互斥体
设置特殊文件夹属性
修改文件内容
-----------------------------------------------------------------------------------------------------------------------------------
关键行为
行为描述: 直接获取CPU时钟
详情信息:
EAX = 0xe4b6348e, EDX = 0x000000b6
EAX = 0xe4b634da, EDX = 0x000000b6
EAX = 0xe4b63526, EDX = 0x000000b6
EAX = 0xe4b63572, EDX = 0x000000b6
EAX = 0xe4b635be, EDX = 0x000000b6
EAX = 0xe4b6360a, EDX = 0x000000b6
EAX = 0xe4b63656, EDX = 0x000000b6
EAX = 0xe4b636a2, EDX = 0x000000b6
EAX = 0xe4b636ee, EDX = 0x000000b6
EAX = 0xe4b6373a, EDX = 0x000000b6
行为描述: 获取窗口截图信息
详情信息:
Foreground window Info: HWND = 0x00010350, DC = 0x01010055.
进程行为
枚举进程
文件行为
创建文件
修改文件内容
注册表行为
修改注册表
其他行为
创建互斥体
创建事件对象
打开互斥体
查找指定窗口
打开事件
窗口信息
获取窗口截图信息
隐藏指定窗口
直接获取CPU时钟
两个报告,大神麻烦给看一下这病毒怎么处理 , 谢了
病毒文件下载地址:https://www.lanzouj.com/i4f5y7a?tdsourcetag=s_pcqq_aiomsg
请提供报告的网址。 LGLG 发表于 2019-7-29 20:47
请提供报告的网址。
https://habo.qq.com/file/showdetail?md5=1437bbc916748881244f20ab78dce24a&pk=ADcGZ11vB2QIPFs%2FU2Q%3D= 去微步扫一下 没多大的问题,大多数程序都有这些特征 本帖最后由 chmod755 于 2019-7-30 09:46 编辑
扔沙箱里跑了下,暂时没看到啥问题,敏感的操作是防火墙加额外的规则,添加驱动文件,获取权限 楼主要是不放心的话文件在 “C:\Program Files\Common Files\csdser”,里面有两个uninstall*.bat 的脚本 运行一下就OK了,之后删除csdser文件夹 如果提示删不掉,去任务管理器里找 “se*nmg.exe” 结束这个进程,再删
如果要删除的话顺便把“C:\Users\你的账号\AppData\Local\Temp”中的“ces.exe”和“ces.txt”也删了
chmod755 发表于 2019-7-30 09:39
扔沙箱里跑了下,暂时没看到啥问题,敏感的操作是防火墙加额外的规则,添加驱动文件,获取权限 楼主要是不 ...
谢了,但是电脑运行之后出现了自动群发打广告的现象 kiseyzed 发表于 2019-7-29 22:30
没多大的问题,大多数程序都有这些特征
但是 用之后登陆着qq它就自动帮他群发打广告
页:
[1]