朋友打开了一个软件，然后哈勃分析出很多行为，怎么清理干净

wuguodong

https://habo.qq.com/file/showdetail?pk=ADcGbl1oB2cIP1s7U2Y%3D

ahov

我说，楼上那两位觉得问题不大的是怎么分析判断的

首先，样本通过对一个一个进程遍历字符串对比avp.exe，avp.exe为卡巴斯基主动防御进程，即检测常见防病毒软件

其次，在哈勃报告中出现了._cache_和HD_常见的感染型病毒dropper行为迹象

最后，有个非常关键的行为——
行为描述：        创建系统服务
详情信息：
[服务创建成功]: svchcst, %SystemRoot%\System32\svchost.exe -k "svchcst"
仔细观察，该样本创建了一个调用系统文件svchost.exe近似于系统文件svchost.exe的svchcst服务项，这个行为是绝对不可能出现在正常软件的，像这种行为的仿冒系统，就凭借这个防病毒软件就可以直接当场查杀掉了已经

另外我感到疑惑的是样本形似Synaptics/Synares蠕虫感染型病毒，包括“出品公司”也是写的是“Synaptics”，也存在._cache_的行为，但是HD_一般又是HDrop这款感染型病毒的经典行为

哈勃里面文件被释放在了C:\WINDOWS\system32\Synaptics\Synaptics.exe（就这个行为的路径也能知道这个样本绝对有问题），而一般的Synaptics/Synares蠕虫感染型病毒一般释放在C:\ProgramData\Synaptics\Synaptics.exe，但是哈勃里面还出现了此类路径：C:\Documents and Settings\，说明运行机器为Windows XP操作系统而非以上，不知道有没有对该样本文件释放和路径问题造成影响

luliucheng

出品公司：Synaptics
你 朋 友 完 了
这是Synaptics病毒，论坛里中过的人不计其数，楼主多学学吧。怎么杀掉请搜索论坛之前的文章。

boshugege

这个……问题似乎不是特别大的样子 可以说说这个软件是用来干什么的吗

jyjjf

用虚拟机运行一阵看看

ahov

这个绝对是病毒，可能不太好搞，可能是感染型病毒

flyjerry

哈勃是个杀毒软件？

outputlog

flyjerry 发表于 2022-8-14 14:46
哈勃是个杀毒软件？

是腾讯的在线查毒网站

Asra

很像木马，有虚拟机探测，释放可疑exe文件，创建系统服务

莫忘初

这个分析结果感觉问题不大，具体得看软件的功能需不需要用到这些功能

qytndnkj

学习使我快乐

svip6868

这就完事了？？？也没说清楚啊。