真紅の資源討論組

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

(SPIRALl)スパイラル资源报毒

2 帖子 2 发布者 179 浏览

冇离线
冇离线
冇节操

写于最后由编辑

#1

工作用电脑不敢乱搞，求大佬帮忙看看问题大不大

附：火绒安全日志

【1】2025-03-04 10:44:34,病毒防护,文件实时监控,发现病毒Virus/Ramnit.ep, 已处理

病毒名称：Virus/Ramnit.ep
病毒ID：F32FACE679326157
病毒路径：H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!(SPIRALl)スパイラル!!\ssleay32.dll
操作类型：修改
操作结果：已处理，清除恶意代码

进程ID：14764
操作进程：D:\Program Files (x86)\WinRAR\WinRAR.exe
操作进程命令行："D:\Program Files (x86)\WinRAR\WinRAR.exe" x -iext -ow -ver -- "H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!.7z" H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!
父进程ID：1700
父进程：C:\Windows\explorer.exe

【2】2025-03-04 10:44:34,病毒防护,文件实时监控,发现病毒Worm/Ramnit.e, 已处理

病毒名称：Worm/Ramnit.e
病毒ID：92F594D57C82944C
病毒路径：H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!(SPIRALl)スパイラル!!\SPIRAL_CHSSrv.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：14764
操作进程：D:\Program Files (x86)\WinRAR\WinRAR.exe
操作进程命令行："D:\Program Files (x86)\WinRAR\WinRAR.exe" x -iext -ow -ver -- "H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!.7z" H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!
父进程ID：1700
父进程：C:\Windows\explorer.exe

【3】2025-03-04 10:44:32,病毒防护,文件实时监控,发现病毒Worm/Ramnit.e, 已处理

病毒名称：Worm/Ramnit.e
病毒ID：92F594D57C82944C
病毒路径：H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!(SPIRALl)スパイラル!!\SPIRALSrv.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：14764
操作进程：D:\Program Files (x86)\WinRAR\WinRAR.exe
操作进程命令行："D:\Program Files (x86)\WinRAR\WinRAR.exe" x -iext -ow -ver -- "H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!.7z" H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!
父进程ID：1700
父进程：C:\Windows\explorer.exe

【4】2025-03-04 10:42:46,病毒防护,文件实时监控,发现病毒Virus/Ramnit.ep, 已处理

病毒名称：Virus/Ramnit.ep
病毒ID：F32FACE679326157
病毒路径：H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!(SPIRALl)スパイラル!!\libeay32.dll
操作类型：修改
操作结果：已处理，清除恶意代码

进程ID：14764
操作进程：D:\Program Files (x86)\WinRAR\WinRAR.exe
操作进程命令行："D:\Program Files (x86)\WinRAR\WinRAR.exe" x -iext -ow -ver -- "H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!.7z" H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!
父进程ID：1700
父进程：C:\Windows\explorer.exe

【5】2025-03-04 10:42:04,病毒防护,文件实时监控,发现病毒Virus/Ramnit.ep, 已处理

病毒名称：Virus/Ramnit.ep
病毒ID：F32FACE679326157
病毒路径：H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!(SPIRALl)スパイラル!!\DLL\TheoraLib.dll
操作类型：修改
操作结果：已处理，清除恶意代码

进程ID：14764
操作进程：D:\Program Files (x86)\WinRAR\WinRAR.exe
操作进程命令行："D:\Program Files (x86)\WinRAR\WinRAR.exe" x -iext -ow -ver -- "H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!.7z" H:\BaiduNetdiskDownload(SPIRALl)スパイラル!!
父进程ID：1700
父进程：C:\Windows\explorer.exe
1 条回复最后回复

0
阿离线
阿离线
阿拉灯神丁

写于最后由阿拉灯神丁编辑

#2

看样子可能是蠕虫病毒, 感染了文件夹的dll和exe文件.
可以观察一下解压之后dll/exe文件的修改时间以及CRC/MD5是否和解压前一致, 不一致则可能就是文件被蠕虫病毒感染了
另外可以将报毒的文件样本(如SPIRAL_CHSSrv.exe)上传到在线病毒扫描网站看看报毒情况怎样, 比如下面两个
https://www.virustotal.com/gui/home/upload
https://www.virscan.org/

保险起见还是先全盘查杀一遍, 或者先扫描一下全部的dll和exe.
然后这个压缩包最好也不要了, 换成其他地方的资源
1 条回复最后回复

0

登录后回复