好友
阅读权限10
听众
最后登录1970-1-1
|
天道酱
发表于 2019-8-23 12:19
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
29吾爱币
从源头上说起, 主体是inetinfo.exe 这个可执行文件.在我的电脑中所处的目录为:C:\Users\xx\AppData\Local\tubeinetinfo 其中,xx是我的管理员用户名
1,我不能判断这个程序是否属于病毒,但根据其行为来看,应该是病毒释放出来的程序.
2.近期安装了火绒,然后火绒监控到了该程序释放出一些病毒进程,以下是火绒拦截日志
3.根据拦截时的发起程序,我找到了这个inetinfo.exe,现在的日志是简化版,无法看到其发起程序.不过我确定这些记录都是这个名为inetinfo.exe的程序发起的.
4.然后我尝试将这个程序正常手段卸载(其自带了一个卸载程序),以及直接强行删除,都没有用,另外会有程序将该程序的所需组件重新复制到该目录
5,接着我分别使用了:组策略禁止该程序运行,禁止该目录的访问权限,的确是阻止了该程序的运行,但是.
6.首先会有一个后台进程尝试安装inetinfo.exe,其会激活一个setup/uninstall前台程序,进行错误弹窗.
![R3L)HZYL)I18NVSRW4CIZ]7.png](https://attach.52pojie.cn/forum/201908/23/121538wzhn6k6z7wl869f8.png "R3L)HZYL)I18NVSRW4CIZ]7.png")
7.而这两个进程所在的目录,都是临时目录,并且在temp这个临时目录下,大量的复制了其副本.
8.使用火绒或系统自带的手段,我无法禁止该弹窗的出现,虽然并没有什么实际危害了,但开机弹一次,每隔两小时弹一次,非常的烦人
9,以上所提到的三个程序,应该都并不是该病毒的源头程序,因为对他们进行杀毒,都没有报毒
10.我百度过,这个inetinfo.exe是属于iis的组件,我已经禁用了关于iis的服务与windows功能,并且,百度得到的信息是,该程序应该在C:\WINDOWS\System32\inetsrv\
11.我想知道三个问题的答案,一,该程序是否是病毒程序.二,我能否通过某种技术手段监听到其源头发起程序,并将其解决掉,如果能,如何做.三,如果以上都无法解答,是否可以教我一种操作,将6中所提到的弹窗完全解决掉,因为是每次运行都临时生成,所以进程名并不相同,但我用组策略的哈希规则禁用,也不起作用.
全部家产求解决该问题
|
最佳答案
查看完整内容
......火绒剑的进程列表,他是树形列表呀.....
|
|
发表于 2019-8-23 12:46
