管理员 萨卡 发布于十一月 19, 2017 管理员 分享 发布于十一月 19, 2017 确认是病毒, 已隐藏. 详情特征: 会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe 和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起. 会创建目录和文件: C:\ProgramData\WindowsAppCertification 其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe 其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒. 到这就不分析下去了. 以上. 1 2 链接到点评
管理员 萨卡 发布于十一月 20, 2017 管理员 分享 发布于十一月 20, 2017 2 小时前, 昔日晨光 说道: 看SAKA大大的测试应该不是太恶性的病毒 反正我全盘查杀了就继续用了。。。 不过我是发现有可疑进程和调动脚本就把他停止掉了 启动项也没被改 总之还是先全盘查一遍 然后再看看网银支付宝那些有没有异常登录记录吧 最好的还是改一遍密码了 建议多检查下, 特别要确认那2目录完全砍掉. 我记得中间还有加载其他程序, Issas还不是本体来着. 本体还从另外的网站上下, 我已经发了举报过去了, 但愿他们会处理. 另外检查下cpu占用以及奇怪进程. 看主要程序名故意混淆注意微软的lsass和假的路径以及相近的名字 (ISASS而不是LSASS等). 链接到点评
管理员 萨卡 发布于十一月 20, 2017 管理员 分享 发布于十一月 20, 2017 3 小时前, man6223200 说道: 大意中招的人路过,请问如何彻底清理 因为之后登录过网银,和支付宝有点害怕 不过有一点好的是 对方是俄罗斯看不懂中文hhhhhh 链接到点评
管理员 萨卡 发布于十一月 20, 2017 管理员 分享 发布于十一月 20, 2017 28 分钟前, man6223200 说道: 我查了你说的几个文件位置,都不存在,是不是算安全了? (打开了显示隐藏系统文件和文件查的) 这个游戏运行后不存在?杀毒软件清理出结果的话应该没事 多留意点吧 链接到点评
推荐贴