IT天空

 找回密码
 加入我们

手机号码,快捷登录

搜索

[经验] 耗时一个月 初步有点苗头 继续排查ing....

[复制链接]
阿龙正罡 发表于 2021-8-24 22:29:50 | 显示全部楼层 |阅读模式

IT天空 定制版高速U盘 128G | 固态U盘 256G Pro/512G Pro
无他意   仅提供点小白鼠的经验        

因帮别人装系统    我也好久没有实操过了  之前的光盘 U盘  工具都找不到了  

看其电脑  空间 发红   故而在保证文件的情况下 ghost还原  

随即找了网传老毛子 的精简win7  的一个 迅雷连接

和本站的温鑫Pe工具 @温鑫Sys

当时又有点不安的感觉  

但是 电脑要用 就先没管   抽空看了下  好家伙  卡成翔  要用的软件一个个 打不开

然后 有下载了itellu 系统 安静了会  还是如此  

因电脑里有很多杀软会杀的文件

故而有了此贴   https://www.itsk.com/thread-418657-1-1.html   https://www.itsk.com/thread-418627-1-1.html

第二个帖子因传了病毒样本  被删

杀软嘛没卵用   要的文件全干掉   甚至 自插    管家杀管家  60杀60  唯独对病毒就表现的一点反应都没有

后面 才开始对生成的病毒文件 有反应  

这种马后炮的 东西反而没有平时稍稍改动就提醒积极  
生成的时候一点反应没有 生成完了一扫 才有反应  马各级 的 平时瞎拦截  推送广告咋个那么积极呢  操
  所以哦   杀软 都是laji

此处表扬@火绒   

生成的文件 手动都能处理  
在卡饭找了国内国外上十款杀软 想揪出源头   个别报是啥挖矿病毒    有几个报sality  
昨儿个  测试了温鑫Pe工具箱 @温鑫Sys     纯pe和u盘环境

温馨peVeryCapture_20210824154547.jpg



温馨peVeryCapture_20210824154658.jpg




下图是病毒文件autorun.inf和生成文件exe/pif   7z是压缩的 这几个文件


温馨PE VeryCapture_20210824154735.jpg



病毒症状如下  会自动生成  无限增殖   图没截   
一次是在PE下查毒 一晚上    pe盘16G  2000多个  假鱼盘512G  4000多个    平均每分钟四五个
二次是固态 两个分区  有三四百个  我清理了  

    自动删除   外接了机械移动硬盘打开隐藏选项看到的  
会删文件   用
隐藏选项会经常关掉 手动打开一会就关掉   
停留在当前文件夹不刷新
打开隐藏选项看到的   会伪装   管家杀了生成的文件   它有生成了 并伪装成管家隔离图标样式  生成删除两三次留下管家图标  把自动排列去掉 就能看到空了
难以查杀 是和当前运行的进程寄生了 传过去的软件都被感染

杀软查只是看看是啥玩意  并没有删 杀软杀的文件都会失效 仅辅助 一下

后面用爱纯净pe安装了yr系统  并在pe下 cure了 这台电脑  暂时安分了

第二台电脑也是用的 温鑫Pe工具箱 @温鑫Sys  装的   都是装好几次无用 格盘只能格c      暂时没空去弄弄

慢慢  补充吧  





最近访问 头像模式 列表模式
 楼主| 阿龙正罡 发表于 2021-8-24 23:36:14 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

会删文件    搜索几次autorun.inf  winrar打包EXE/PIF    回头 发现压缩不了 一看 主文件没了   索索也没了  
woshi_1001 发表于 2021-8-26 09:46:18 | 显示全部楼层

活跃 17876| 技术 19| 互助 29| 钻石 310

不知所云
 楼主| 阿龙正罡 发表于 2021-8-26 15:29:38 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

铿锵玫瑰 发表于 2021-9-6 15:11:43 | 显示全部楼层

活跃 1061| 技术 0| 互助 0| 钻石 0

楼主的意思是在PE下,原系统内的病毒也在运行?太可怕了!这简直没治了!

点评

是的 您理解了我的意思 源系统会在内存报毒 进pe的话 这个 温鑫Sys 的PE 盘下有两个文件 一个97KB 文件 一个是autoinf 内容是97KB 文件的指令 其他的PE没这个发现 所以发了此贴 病毒样本论坛不  详情 回复 发表于 2021-12-17 22:45
他自己都不知道自己在说什么,你怎么知道的  详情 回复 发表于 2021-11-30 08:12
xiezhongrong 发表于 2021-9-9 07:45:58 | 显示全部楼层

活跃 32497| 技术 0| 互助 2| 钻石 0

楼主语言表达能力实在太厉害了,一般人看不懂
从头到尾不知道他的主题意思到底是什么,看完
一脸懵逼的走了,我相信不只是我一个人能力问题。。。。
温鑫Sys 发表于 2021-11-29 13:54:09 | 显示全部楼层

活跃 105| 技术 0| 互助 0| 钻石 0

我看着都有点懵逼

点评

你那个PE 暂时没用 了 因为会产生那个病毒文件 就是卡巴过一遍 用温PE 病毒文件 又会出来 所以... 不过 用起来确实还不错 我@你 主要是提示一下 毕竟白嫖的也不能太过分  详情 回复 发表于 2021-12-15 23:39
嗯 没啥 就是想确定是哪个病毒源 根治 但能力不足  详情 回复 发表于 2021-12-15 23:36
shengbaoyi 发表于 2021-11-29 22:00:42 | 显示全部楼层

活跃 275| 技术 0| 互助 0| 钻石 0

你不会下载个纯净系统吗?把硬盘格式化,不信还会有病毒。。。

点评

抱歉 语气不好 不过 确实久不弄了 没找到纯净版的 然后百度了个 然后就这样了 然后 你说 的 那个格式化啊 能这么干就不会弄这些了  详情 回复 发表于 2021-12-15 23:48
要格式化发帖作甚  详情 回复 发表于 2021-12-15 23:35
xiezhongrong 发表于 2021-11-30 08:12:20 | 显示全部楼层

活跃 32497| 技术 0| 互助 2| 钻石 0

铿锵玫瑰 发表于 2021-9-6 15:11
楼主的意思是在PE下,原系统内的病毒也在运行?太可怕了!这简直没治了!

他自己都不知道自己在说什么,你怎么知道的

点评

是的 玫瑰说的没错  详情 回复 发表于 2021-12-15 23:33
 楼主| 阿龙正罡 发表于 2021-12-15 23:33:09 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

xiezhongrong 发表于 2021-11-30 08:12
他自己都不知道自己在说什么,你怎么知道的

是的  玫瑰说的没错
 楼主| 阿龙正罡 发表于 2021-12-15 23:35:25 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

shengbaoyi 发表于 2021-11-29 22:00
你不会下载个纯净系统吗?把硬盘格式化,不信还会有病毒。。。

要格式化发帖作甚
 楼主| 阿龙正罡 发表于 2021-12-15 23:36:37 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

温鑫Sys 发表于 2021-11-29 13:54
我看着都有点懵逼

嗯  没啥 就是想确定是哪个病毒源 根治     但能力不足
 楼主| 阿龙正罡 发表于 2021-12-15 23:39:53 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

温鑫Sys 发表于 2021-11-29 13:54
我看着都有点懵逼

你那个PE  暂时没用  了 因为会产生那个病毒文件    就是卡巴过一遍 用温PE 病毒文件 又会出来  所以...   不过  用起来确实还不错  我@你  主要是提示一下    毕竟白嫖的也不能太过分   
 楼主| 阿龙正罡 发表于 2021-12-15 23:48:50 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

shengbaoyi 发表于 2021-11-29 22:00
你不会下载个纯净系统吗?把硬盘格式化,不信还会有病毒。。。

抱歉 语气不好  不过 确实久不弄了  没找到纯净版的   然后百度了个  

然后就这样了

然后 你说 的  那个格式化啊  能这么干就不会弄这些了   

点评

为啥不能格式化呢?  详情 回复 发表于 2021-12-16 00:27
shengbaoyi 发表于 2021-12-16 00:27:02 | 显示全部楼层

活跃 275| 技术 0| 互助 0| 钻石 0

阿龙正罡 发表于 2021-12-15 23:48
抱歉 语气不好  不过 确实久不弄了  没找到纯净版的   然后百度了个  

然后就这样了

为啥不能格式化呢?

点评

不过 暂时压制住了 凑乎用吧  详情 回复 发表于 2021-12-17 22:34
很简单 如果无关紧要 装系统 对于能来本论坛的我来说 不是很困难 当然 我是小菜 不能格式化 是因为 有些东西 很难找 也不想转移 根源不断 转移也是不干净  详情 回复 发表于 2021-12-17 22:32
 楼主| 阿龙正罡 发表于 2021-12-17 22:32:49 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

shengbaoyi 发表于 2021-12-16 00:27
为啥不能格式化呢?

很简单  如果无关紧要  装系统  对于能来本论坛的我来说  不是很困难

当然  我是小菜   

不能格式化  是因为 有些东西 很难找  也不想转移    根源不断 转移也是不干净

 楼主| 阿龙正罡 发表于 2021-12-17 22:34:51 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

shengbaoyi 发表于 2021-12-16 00:27
为啥不能格式化呢?

不过  暂时压制住了  凑乎用吧
 楼主| 阿龙正罡 发表于 2021-12-17 22:45:44 | 显示全部楼层

活跃 675| 技术 0| 互助 0| 钻石 0

本帖最后由 阿龙正罡 于 2021-12-17 22:47 编辑
铿锵玫瑰 发表于 2021-9-6 15:11
楼主的意思是在PE下,原系统内的病毒也在运行?太可怕了!这简直没治了!

是的  您理解了我的意思

源系统会在内存报毒

进pe的话 这个 温鑫Sys 的PE 盘下有两个文件  一个97KB 文件   一个是autoinf   内容是97KB 文件的指令  当然 源系统也是这两个文件  而且因为autoinf这个文件 丢失了一两个G的资料

其他的PE没这个发现   所以发了此贴   病毒样本论坛不给上传 贴被删了

我自己整不明白文件具体是系统的还是PE 的  当然是哪个也不重要    重要的是根源   杀删都会
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

阿龙正罡

675

活跃

0

技术

0

互助
签到任务
最火的业界新闻
  • 摩尔定律不死!Intel重申4年搞定5代CPU工艺
  • 苹果屠龙刀发动!明年将推出iPhone 15 Ultr
  • 消灭刘海和挖孔 中兴Axon 30S上市:骁龙870
  • 都别弄错了!RTX 40系显卡并非4nm工艺 而是
  • AMD锐龙“嚣张”了5年 Intel找到破解之法:
  • 曝苹果新款MacBook Pro今年Q4登场:首发自
  • 单核性能强到AMD看不见尾灯!Intel 13代酷
  • 性能掀翻RTX 3060 Intel谈Arc显卡优势:性
  • 65W下性能堪称井喷!AMD Zen 4移动版处理器
  • x86/ARM有对手了!Intel力挺第三大CPU架构R
炫酷的硬件Show
  • MARK 1 - 设计型 PC 与垂直风道
  • 好的大王,没问题大王
  • 振华SUPER FLOWER 铜皇450W 铜牌电源
  • 比小更小,Mini-STX装机
  • 华擎X99E-ITX + 银欣ML06 装机记
  • 最强双路泰坦硬管水冷 制作流程
  • 银欣FT02,双路E5工作站
  • 迟到的定制机箱小钢炮清理灰尘
  • 乔思伯UMX1 Plus,小巧的家用综合主机
  • 分体水冷第二弹-Inwin 805 infinity
有趣的美图分享
  • 假票而已。我还以为发明了期货呢
  • 有点生气
  • 在地上的方式不太一样
  • 你就说是不是吧
  • 胖虎开演唱会的地点
  • 仙台大观音不论任何时候看都有一种最终boss
  • 应该有故事
  • 这不先存个档
  • 中式恐怖
  • 小朋友在那天知道了自己并不能变成光
关注官方微信
快速回复 返回顶部 返回列表