公司的一个网页浏览器办公插件

显示全部楼层 · 发表于 2018-3-21 18:40:43

驭龙发表于 2018-3-21 14:42
无敌表示，云杀正常的情况下，我不杀

最后居然是无敌

显示全部楼层 · 发表于 2018-3-21 18:43:59

BD：miss.

双击，ATD击杀之。

Application InstallPrinter.exe has been detected as potentially malicious and blocked.Application path: C:\Users\Killer\Desktop\Threat Test\InstallPrinter.exe

显示全部楼层 · 发表于 2018-3-21 18:44:50

本帖最后由驭龙于 2018-3-21 18:57 编辑

aboringman 发表于 2018-3-21 18:40
最后居然是无敌

你是说我最后选择无敌么？实际上我是为更新RS4做准备，毕竟用别的可能会影响更新RS4，但更新系统以后，可能会回归ESET

显示全部楼层 · 发表于 2018-3-21 18:48:52

驭龙发表于 2018-3-21 18:44
你是说我最后选择无敌么？实际上我是为更新RS4做准备，毕竟用别的可能和影响更新RS4，但更新系统以后，可 ...

原来如此，Clear

显示全部楼层 · 发表于 2018-3-22 13:19:32

麦咖啡报毒

显示全部楼层 · 发表于 2018-3-22 14:00:14

aboringman 发表于 2018-3-21 18:43
BD：miss.

双击，ATD击杀之。

BD的ATC竟然杀了。。。。

显示全部楼层 · 发表于 2018-3-22 14:00:30

Im_Zeus 发表于 2018-3-22 13:19
麦咖啡报毒

咖啡报也不奇怪

显示全部楼层 · 发表于 2018-3-22 14:16:47

清道夫900 发表于 2018-3-22 14:00
咖啡报也不奇怪

那个不是咖啡杀，只不过是咖啡网站顾问把卡饭的下载地址拉黑了而已

显示全部楼层 · 发表于 2018-3-22 14:18:46

14:18:21[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：2.5.0.0

14:18:21[2]：(允许)读取注册表键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun    数据：

14:18:21[3]：(允许)读取注册表键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives    数据：

14:18:21[4]：(允许)读取注册表键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun    数据：

14:18:21[5]：(允许)读取注册表键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetConnectDisconnect    数据：

14:18:21[6]：(允许)读取注册表键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory    数据：

14:18:21[7]：(允许)读取注册表键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose    数据：

14:18:21[8]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\TMP    数据：

14:18:21[9]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[10]：(允许)打开驱动对象：SPooler

14:18:21[11]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[14]：(阻止)删除注册表键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Print Processors\GoldGridPrint

14:18:21[15]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[16]：(阻止)删除文件：C:\Windows\system32\spool\PRTPROCS\W32X86/GoldGridPrint.dll

14:18:21[17]：(阻止)删除文件：C:\Windows\system32\spool\PRTPROCS\W32X86/GoldGridPrint_XP.dll

14:18:21[18]：(阻止)删除文件：C:\Windows\system32\spool\PRTPROCS\W32X86/GoldGridPrint_Vista.dll

14:18:21[19]：(阻止)删除文件：C:\Windows\system32\spool\PRTPROCS\W32X86/GoldGridPrint_X64.dll

14:18:21[20]：(安全环境)复制文件：C:\Windows\system32\GoldGridPrint.dll    复制至：C:\Windows\system32\spool\PRTPROCS\W32X86\GoldGridPrint.dll

14:18:21[21]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[23]：(安全环境)复制文件：C:\Windows\system32\GGPrinter.gpd    复制至：C:\Windows\system32\spool\DRIVERS\W32X86\GGPrinter.gpd

14:18:21[24]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[26]：(安全环境)复制文件：C:\Windows\system32\KGnames.gpd    复制至：C:\Windows\system32\spool\DRIVERS\W32X86\KGnames.gpd

14:18:21[27]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[29]：(安全环境)复制文件：C:\Windows\system32\KGDRV.DLL    复制至：C:\Windows\system32\spool\DRIVERS\W32X86\KGDRV.DLL

14:18:21[30]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[32]：(安全环境)复制文件：C:\Windows\system32\KGDRVUI.DLL    复制至：C:\Windows\system32\spool\DRIVERS\W32X86\KGDRVUI.DLL

14:18:21[33]：(安全环境)写入文件：C:\Windows\system32/OutMessage.txt

14:18:21[40]：(允许)程序退出：File_Analysis 行为记录到此为止

显示全部楼层 · 发表于 2018-3-22 15:04:48

提示: 该帖被管理员或版主屏蔽

色彩之狐头像被屏蔽	发表于 2018-3-22 15:04:48 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
色彩之狐头像被屏蔽
	回复举报

[可疑文件] 公司的一个网页浏览器办公插件

评分

评分

本帖子中包含更多资源