#PACKAGE 0813

显示全部楼层 · 发表于 2018-8-13 18:50:05

蓝奏

Total : 28

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#样本新鲜，建议尽快食用，凉了就不好吃了~

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-8-13 18:59:47

本帖最后由静影沉璧于 2018-8-13 19:40 编辑

BD2019 19:09
扫描：16/28
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(20).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(9).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(1).exe Trojan.GenericKD.40394671 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(12).exe Trojan.Inject.AUZ Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(3).exe Trojan.GenericKD.40396265 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(22).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(24).exe Gen:Heur.Zard.1 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(6).exe Gen:Suspicious.Cloud.8.nn3@aGMiVkdi Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(8).exe Gen:Suspicious.Cloud.8.nn3@a4Gi16ji Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(18).exe Gen:Variant.Symmi.5666 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(17).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(28).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(10).exe Gen:Variant.Ursu.269787 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(11).exe Trojan.GenericKD.40395360 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(21).exe Gen:Variant.Razy.374451 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(14).exe Gen:Variant.Zusy.259769 Deleted
双击：
成功防御以下样本：
The file c:\users\administrator\desktop\package 0813\0813(2).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(4).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(5).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(7).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(13).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(15).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(27).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(26).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(25).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.（此样本触发Ransomware Remediation）
The file c:\users\administrator\desktop\package 0813\0813(19).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(16).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
剩余样本双击结果：
23号样本只杀衍生物，ATD回滚了衍生物的恶意操作，但是本体未杀
Total：27/28=96.4%

显示全部楼层 · 发表于 2018-8-13 19:00:05

本帖最后由静影沉璧于 2018-8-13 20:36 编辑

avast高级版 19:56 虚拟机：
扫描：15/28
双击：
成功防御：
5号样本（IDP）
6号样本触发扫描后放行，之后IDP杀
13号样本文件防护杀
14号样本触发扫描后放行，之后IDP杀
15号样本触发扫描后放行，之后IDP杀
25号样本触发扫描后放行，之后IDP杀
26号样本触发扫描后放行，之后IDP杀
21号样本文件防护杀
剩余样本双击结果：
4号样本运行后自退
7号样本触发扫描后放行
8号样本触发扫描后放行
23号样本触发扫描后放行
27号样本触发扫描后放行
Total：23/28=82.1%

显示全部楼层 · 发表于 2018-8-13 19:19:52

本帖最后由 YU2711 于 2018-8-13 19:23 编辑

SEP 18:57扫描部份25/28
剩下11 13 23
双击部份1/3
11Miss(内存自退)
13SONAR.SuspLaunch!g12
23Miss(内存)

总共:26/28

显示全部楼层 · 发表于 2018-8-13 19:34:36

本帖最后由 Karna 于 2018-8-13 19:40 编辑

19:02 卡巴扫描 17 + 双击
4  PDM:Trojan.Win32.Generic
5  PDM:Trojan.Win32.Badur.a
6  PDM:Trojan.Win32.Generic
7  运行退出
8  PDM:Trojan.Win32.Generic
10 部分报错，弹出对话框，手动结束
15 PDM:Trojan.Win32.Generic
19 PDM:Trojan.Win32.Generic
23 无法安装卡巴ssl证书，firefox浏览https不再受浏览监控保护，并不确定样本是否生效，可以看成miss
25 PDM:Trojan.Win32.Generic
27 PDM:Trojan.Win32.Generic

*测试单个样本未重启，未使用高级清除

显示全部楼层 · 发表于 2018-8-13 19:45:34

本帖最后由 ther 于 2018-8-14 08:58 编辑

NS占位

----------
下面测过了。。文件名: 0813(11).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________

在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

0813(11).exe 威胁名称: SONAR.Heuristic.170
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(11).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(11).exe 威胁已删除
文件: c:\users\ther1\ null 威胁已删除
文件: d:\360极速浏览器下载\ package 0813.zip 威胁已删除
文件: c:\windows\system32\tasks\ winxc26 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ winxc26, 注册表配置单元: 64 位威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ {9C163AA6-3302-4819-88A7-A9316148922C}, 注册表配置单元: 64 位威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v4.0.30319\ csc.exe, PID:9992 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:2944 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:1684 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: PE 文件创建: c:\users\ther1\ null (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(11).exe, PID:10268 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 0813(13).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________

在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

0813(13).exe 威胁名称: SONAR.Heuristic.170
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(13).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(13).exe 需要重新启动
文件: c:\users\ther1\appdata\roaming\ linin.exe 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ tumor.cab 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ arx2kpmc_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ fiubjipw_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ -emkceau_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ ydj13mqh_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ 6pkrdun-_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ f(5).txt 威胁已删除
事件: 正在运行进程: d:\360极速浏览器下载\package 0813\ 0813(13).exe 已终止
目录: c:\Users\ther1\AppData\Local\Temp\ nsx3FE3.tmp 需要重新启动
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
(执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\ chewers.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\nsx3FE3.tmp\ System.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\users\ther1\appdata\roaming\ linin.exe (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ msiexec.exe, PID:1764 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:2124 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:928 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用23信誉杀一个dll
文件名: fat_x.dll
威胁名称: WS.Reputation.1完整路径: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\fat_x.dll

____________________________

____________________________

在电脑上
2018/8/13 ( 20:31:53 )

上次使用时间
2018/8/13 ( 20:33:50 )

启动项
否

已启动
否

威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全

____________________________

fat_x.dll 威胁名称: WS.Reputation.1
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

中
此文件具有中等程度风险。

____________________________

来源: 外部介质

源文件:
fat_x.dll

____________________________

文件操作

受感染文件: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\ fat_x.dll 已修复
____________________________

文件指纹 - SHA:
0d147d4795eeca5efeef4af8911f3496916d66aec7ce04edf806f9681be8c44a
文件指纹 - MD5:
c7afb627a6f74b198a5dac506625b3b7

显示全部楼层 · 发表于 2018-8-13 19:51:27

本帖最后由 BH2SUC 于 2018-8-13 20:04 编辑

NS 19:40 27/28
扫描剩余11、13、23。

实机双击
SONAR击杀11、13。
23号运行报错。

20：00
SONAR开始疯狂回滚
下载智能分析搞掉了很多dll
貌似自己还被装了不知道哪来的VC库

20：03
Appdata下被强制安装了FireFox

而且数签好像有问题，NS文件信誉显示所有dll和exe信誉良好。。。。。

显示全部楼层 · 发表于 2018-8-13 18:55:34

本帖最后由 dg1vg4 于 2018-8-13 19:09 编辑

卡巴斯基KIS2018 18：57
删除17个文件。

详细日志见：

显示全部楼层 · 发表于 2018-8-13 18:55:44

360天擎本地引擎+QEX 解压1x

扫描0x 总1/28 18:55

显示全部楼层 · 发表于 2018-8-13 18:58:42

BD 扫描剩12个双击的留给大神

显示全部楼层 · 发表于 2018-8-13 19:00:23

本帖最后由静影沉璧于 2018-8-13 20:42 编辑

Emsisoft Emergency Kit - 版本 2018.6
上次更新： 2018年8月13日星期一下午 08:38:47
用户帐号： SXCSXC-AJKJJUBR\Administrator
电脑名称： SXCSXC-AJKJJUBR
操作系统版本： Windows 10x64

扫描设置：

扫描方式：自定义扫描
对象： C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\

检测流氓软件(PUPs)： On
扫描压缩包： On
扫描邮件存档： Off
ADS数据流： On
文件扩展名过滤： Off
直接磁盘访问： Off

扫描开始于： 2018年8月13日星期一下午 08:41:02
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(14).exe 发现风险： Trojan-Spy.Agent (A) [294310]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(11).exe 发现风险： Trojan.Crypt (A) [295036]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(12).exe 发现风险： Trojan.Inject.AUZ (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(20).exe 发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(1).exe 发现风险： Trojan.GenericKD.40394671 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(17).exe 发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(22).exe 发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(3).exe 发现风险： Trojan.GenericKD.40396265 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(28).exe 发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(24).exe 发现风险： Gen:Heur.Zard.1 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(9).exe 发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(10).exe 发现风险： Gen:Variant.Ursu.269787 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(18).exe 发现风险： Gen:Variant.Symmi.5666 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(21).exe 发现风险： Gen:Variant.Razy.374451 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(6).exe 发现风险： Gen:Suspicious.Cloud.4.nn3@aGMiVkdi (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(8).exe 发现风险： Gen:Suspicious.Cloud.4.nn3@a4Gi16ji (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(25).exe 发现风险： Gen:Suspicious.Cloud.4.ru1@aysLTgcG (B) [krnl.xmd]

已扫描 28
发现 17

扫描完成： 2018年8月13日星期一下午 08:41:17
扫描时间： 0:00:15

C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(25).exe    Gen:Suspicious.Cloud.4.ru1@aysLTgcG (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(8).exe    Gen:Suspicious.Cloud.4.nn3@a4Gi16ji (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(6).exe    Gen:Suspicious.Cloud.4.nn3@aGMiVkdi (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(21).exe    Gen:Variant.Razy.374451 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(18).exe    Gen:Variant.Symmi.5666 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(10).exe    Gen:Variant.Ursu.269787 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(9).exe    Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(24).exe    Gen:Heur.Zard.1 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(28).exe    Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(3).exe    Trojan.GenericKD.40396265 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(22).exe    Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(17).exe    Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(1).exe    Trojan.GenericKD.40394671 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(20).exe    Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(12).exe    Trojan.Inject.AUZ (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(11).exe    Trojan.Crypt (A)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(14).exe    Trojan-Spy.Agent (A)

删除 17
Total：17/28=60.7%

显示全部楼层 · 发表于 2018-8-13 19:00:36

本帖最后由小飞侠.net 于 2018-8-13 20:25 编辑

                        ,,,                            ,,,
  瑞星---（Windows 10 Creators Update（Redstone 4）....1803）：云引擎（开）RDM+引擎（开）
            瑞星反恶软引擎命令行扫描器（社区交流版）

编译于：Sep 22 2017 15:07:50

提示：
  - 本工具供社区交流使用，请勿用于其他用途
  - 本工具没有恶意软件删除、清除、隔离功能
  - 本工具包含开发中的新特性，结果仅供参考

* 命令行中的选项开关：-output-json -log=C:\瑞星RDM+引擎\ScanLog_180813202336.log
* 获取恶软签名库最新版本 ...
* 下载恶软签名库配置文件 ...
* 创建恶软签名库升级组件 ...
* 计算并下载增量文件 ...
* 升级恶软签名库 ...
* 恶软签名库升级成功
* 扫描目标 : (1) C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950

* 加载恶软签名库： C:\瑞星RDM+引擎/malware.rmd
* 恶软签名库加载成功，发布序号为 4760
* 读取恶软签名库配置 ...
* 云辅助扫描组件初始化失败.
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
扫描开始: Mon Aug 13 20:24:22 2018

{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(10).exe","infect":{"engine":"rdmk","signature":"cmRtazoFow6MFTnS2mjXDWlfKvH+","threat":"Malware.Heuristic!ET#98%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(13).exe","infect":{"engine":"rdmk","signature":"cmRtazo39MwCeFX11tiTSVDospKc","threat":"Malware.Heuristic!ET#93%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(16).exe","infect":{"engine":"rdmk","signature":"cmRtazrRpNp3VWIgJvrw39Iv7Tat","threat":"Spyware.Noon!8.E7C9"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(11).exe","infect":{"engine":"rdmk","signature":"cmRtazr1YwT0Sx85SrGa1m7/tLrO","threat":"Malware.Heuristic!ET#91%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(14).exe","infect":{"engine":"tfe","signature":"dGZlOgzapr7G5/6LIg","threat":"Spyware.Agent!8.C6"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(12).exe","infect":{"engine":"rdmk","signature":"cmRtazrqYEAUPbyxHxaVaMcsFLfi","threat":"Backdoor.Pontoeb!1.6637"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(1).exe","infect":{"engine":"rdmk","signature":"cmRtazr6In8fF6Znmv8H4IdomNg/","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(18).exe","infect":{"engine":"rdmk","signature":"cmRtazo9sgOSKjztNDcmYaPMKSAe","threat":"Trojan.Fuerboos!8.EFC8"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(2).exe","infect":{"engine":"rdmk","signature":"cmRtazp2TNuQnky5CJVCylCNatoo","threat":"Trojan.Injector!8.C4"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(21).exe","infect":{"engine":"rdmk","signature":"cmRtazpijvpY/3ydTChaou17coDl","threat":"Malware.Heuristic!ET#96%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(17).exe","infect":{"engine":"rdmk","signature":"cmRtazqR2YMgAL7QUEZLkg9tWnuk","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(20).exe","infect":{"engine":"rdmk","signature":"cmRtazq7K2sq1JHFU3FXw6612u2g","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(15).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(22).exe","infect":{"engine":"rdmk","signature":"cmRtazpDk9POelVYWfrUMbVFyB1x","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(25).exe","infect":{"engine":"rdmk","signature":"cmRtazrdIEMOAVR8wJdtbrpglVBg","threat":"Malware.Obscure/Heur!1.9E03"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(24).exe","infect":{"engine":"rdmk","signature":"cmRtazpRh5uV7qOhxIBz9WGgmHjp","threat":"Malware.Undefined!8.C"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(26).exe","infect":{"engine":"rdmk","signature":"cmRtazpb7jUKsQLqkB3mw6jydaFe","threat":"Malware.Heuristic!ET#88%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(3).exe","infect":{"engine":"rdmk","signature":"cmRtazpPCaVnIikaIAuEZm+fU3j1","threat":"Malware.Heuristic!ET#82%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(27).exe","infect":{"engine":"rdmk","signature":"cmRtazoTHmv3R8wuoDhlKmA6CNlm","threat":"Malware.Heuristic!ET#96%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(4).exe","infect":{"engine":"rdmk","signature":"cmRtazra979SYHCVRLmkvwWE+h+v","threat":"Malware.Heuristic!ET#85%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(28).exe","infect":{"engine":"rdmk","signature":"cmRtazrDmCsnDiG8+h2/WnzRSIE9","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(6).exe","infect":{"engine":"rdmk","signature":"cmRtazqJJnpkWFON1WzQqpo6846h","threat":"Trojan.GenKryptik!8.AA55"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(5).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(8).exe","infect":{"engine":"rdmk","signature":"cmRtazpgYKfplZQoNe2rYUFZhNMn","threat":"Malware.Heuristic!ET#87%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(9).exe","infect":{"engine":"rdmk","signature":"cmRtazrTMTzd1DKmq2Nzbb2TcM0C","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(19).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(7).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(23).exe","type":"scan"}

扫描结束: Mon Aug 13 20:24:39 2018

总扫描耗时: 0:16:960(m:s:ms)
总扫描对象: 94
总扫描文件: 28
总恶意文件: 23
有效检出率: 82.14%

火绒安全---（ Windows 7 Ultimate with SP1 简体中文旗舰版....）：部分未知文件已发送到seclab@huorong.cn，等处理中。。。

病毒库：2018-08-13 17:07
开始时间：2018-08-13 19:15
总计用时：00:00:29
扫描对象：514个
扫描文件：28个
发现风险：8个
已处理风险：0个
发现系统修复项：0个
处理系统修复项：0个

病毒详情

风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(12).exe, 病毒名：Backdoor/Fynloski.a, 病毒ID：[853f2ad2e234ab95], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(14).exe, 病毒名：HEUR:Trojan/Agent.ai, 病毒ID：[fc6108915250b6ec], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(16).exe, 病毒名：Trojan/VBInject.b, 病毒ID：[e4beee39ea2e9885], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(18).exe, 病毒名：Trojan/VBInject.b, 病毒ID：[e4beee39ea2e9885], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(15).exe, 病毒名：HEUR:VirTool/VB.Obfuscator.gen!A, 病毒ID：[636e99dfed83873b], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(2).exe, 病毒名：Trojan/VBInject.b, 病毒ID：[e4beee39ea2e9885], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe, 病毒名：HEUR:Trojan/FakeSysApp.a, 病毒ID：[9507364c24517abd], 处理结果：已忽略
风险路径：C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(25).exe, 病毒名：HEUR:VirTool/Obfuscator.gen!C, 病毒ID：[9f7c74f7afee22c], 处理结果：已忽略

文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813.zip
文件大小: 14.8 MB (15,562,199 字节)
修改时间: 2018年08月13日，19:07:57
MD5: 27C3C07EEA29CAC94EAB1E59BBFFF398
SHA1: E74C8F7672A1D7A110465C76F9925B9479879BF4
SHA256: 0044FDBF07C2F49294AD5B4DE8057299D8C83DD2A2BE0E52D519EBDDE6A1D09A
CRC32: 0BA828CA
计算时间: 0.76s

Kaspersky Lab。

您发送的文件、URL 或两者在自动模式下扫描。

在以下文件中检测到恶意代码：
0813(1).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(11).exe - HEUR:Backdoor.Win32.Agent.gen
0813(12).exe - Backdoor.Win32.DarkKomet.xyk
0813(13).exe - HEUR:Trojan-PSW.Win32.Agent.gen
0813(14).exe - HEUR:Trojan.Win32.Generic
0813(15).exe - Trojan.Win32.Khalesi.hue
0813(16).exe - Trojan-Spy.Win32.Noon.qld
0813(17).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(18).exe - Trojan-PSW.Win32.Fareit.ehhf
0813(2).exe - Trojan-Spy.Win32.Noon.qlo
0813(20).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(21).exe - HEUR:Trojan.Win32.Generic
0813(22).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(26).exe - HEUR:Trojan.Win32.Agent.gen
0813(28).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(3).exe - HEUR:Backdoor.MSIL.Agent.gen
0813(9).exe - HEUR:Trojan-Spy.Win32.Agent.gen

附加的文件包含恶意代码。有关此代码的信息将添加到防病毒数据库中：
0813(10).exe - HEUR:Trojan-Ransom.Win32.Agent.gen
0813(24).exe - Trojan-PSW.Win32.Tepfer.psyfka
0813(27).exe - HEUR:Backdoor.Win32.Agent.gen
0813(4).exe - HEUR:Backdoor.Win32.Agent.gen
0813(6).exe - Trojan.Win32.VBKrypt.ztfd
0813(7).exe - HEUR:Trojan.MSIL.Agent.gen
0813(8).exe - Trojan.Win32.VBKrypt.ztes

在防病毒数据库中未找到有关指定文件的信息：
0813(19).exe
0813(23).exe
0813(25).exe
0813(5).exe

Dr.Web CureIt! 简体中文绿色免费版---（ Windows 7 Ultimate with SP1 简体中文旗舰版....）：

-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\2C1700842 -rpcpr:np

Limit the use of the computer resources to 100%
Instances used for this session: 10
Object(s) to scan:
- C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813

C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(11).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(13).exe is NSIS container
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(16).exe - packed by FLY-CODE
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(13).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(16).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(10).exe is BINARYRES container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(10).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(12).exe - infected with BackDoor.Tordev.976
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(12).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(15).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(2).exe - packed by FLY-CODE
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(18).exe - packed by FLY-CODE
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(2).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(18).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(21).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(24).exe - packed by ASPROTECT
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(14).exe - is hacktool program Tool.PassView.1871
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(14).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(25).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(20).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(26).exe is ZLIB container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(26).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(22).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(1).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe\data001 is NET container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe\data003 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(5).exe - probably infected with DLOADER.Trojan
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(5).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(24).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(3).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(27).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(17).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(28).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(6).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(8).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(9).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe\data001 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(7).exe - Ok
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe\data003 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe - container
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe is INNO SETUP container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\Script2.bin is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libeay32.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libevent-2-0-5.dll is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libevent_extra-2-0-5.dll - packed by FLY-CODE
>>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libevent_extra-2-0-5.dll is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libgcc_s_sjlj-1.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libgmp-10.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libssp-0.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\ssleay32.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\tor.exe is ZLIB container
>>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\tor.exe\data001 - packed by FLY-CODE
>>>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\tor.exe\data001 is BINARYRES container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe - container

Total 23373121 bytes in 28 files scanned (130 objects)
Total 25 files (127 objects) are clean
Total 2 files are infected----

Total 1 file are suspicious
Scan time is 00:00:11.181

ESET Endpoint Security 64位（高级启发式（Y）+压缩文件（Y）+自解压加壳（Y）+DNA智能签名（Y）++（Windows 10 Creators Update（Redstone 4）....1803）：

日志
正在扫描日志
检测引擎的版本: 17874P (20180813)
日期: 2018-08-13 时间: 20:10:06
已扫描的磁盘、文件夹和文件: C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(1).exe - Win32/Injector.DZTO 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(10).exe - MSIL/Kryptik.OUA 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(11).exe - MSIL/Kryptik.PET 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(12).exe - Win32/Fynloski.AA 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(13).exe > NSIS > Script.nsi - NSIS/Injector.ACZ 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(13).exe > NSIS > chewers.dll - Win32/Injector.DZTQ 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(14).exe > CONFUSEREX > deobfuscated.exe - MSIL/Spy.Agent.AUS 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(16).exe - Win32/Injector.DZTN 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(17).exe - Win32/Injector.DZTO 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(18).exe - Win32/Injector.DZTN 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(19).exe - MSIL/Kryptik.PFC 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(2).exe - Win32/Injector.DZTN 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(20).exe - Win32/Injector.DZTO 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(21).exe - MSIL/Kryptik.PDU 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(22).exe - Win32/Injector.DZTO 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(23).exe > INNO > {tmp}\fat_x.dll - Win32/Kryptik.GJTU 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(24).exe - Win32/Injector.DYWV 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(25).exe - Win32/Kryptik.GJTR 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(26).exe - MSIL/Kryptik.PCF 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(27).exe - MSIL/Kryptik.PFC 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(28).exe - Win32/Injector.DZTO 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(3).exe - MSIL/Kryptik.PCF 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(4).exe - MSIL/Kryptik.PFC 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(6).exe - Win32/Injector.DZTZ 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(7).exe - Win32/Injector.DZTU 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(8).exe - Win32/Injector.DZTZ 特洛伊木马的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(9).exe - Win32/Injector.DZTO 特洛伊木马的变种 - 通过删除清除 [1]
已扫描的对象数: 107
发现的威胁数: 27
已清除对象数: 27---又双叒叕

上传VirusTotal？
完成时间: 20:10:44  总扫描时间: 38 秒 (00:00:38)

备注:
[1] 由于对象中仅包含病毒主体，因此已被删除。

Emsisoft Emergency Kit - 版本 2018.6
上次更新： 2018-08-13 18:53:49
用户帐号： TECLAST\Admin
电脑名称： TECLAST
操作系统版本： Windows 10 x64

Emsisoft Emergency Kit 绿色免费版
(已开启)加入 Emsisoft 云、更新源：测试版
Bitdefender（B）+Emsisoft（A）双引擎

扫描设置：

扫描方式：自定义扫描
对象： Rootkits, C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\

检测流氓软件(PUPs)： On
扫描压缩包： On
扫描邮件存档： Off
ADS数据流： On
文件扩展名过滤： Off
直接磁盘访问： Off

扫描开始于：       2018-08-13 20:17:10
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(11).exe       发现风险： Trojan.Crypt (A) [295036]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(14).exe       发现风险： Trojan-Spy.Agent (A) [294310]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(1).exe       发现风险： Trojan.GenericKD.40394671 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(12).exe       发现风险： Trojan.Inject.AUZ (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(17).exe       发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(10).exe       发现风险： Gen:Variant.Ursu.269787 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(20).exe       发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(18).exe       发现风险： Gen:Variant.Symmi.5666 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(22).exe       发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(21).exe       发现风险： Gen:Variant.Razy.374451 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(28).exe       发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(3).exe       发现风险： Trojan.GenericKD.40396265 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(9).exe       发现风险： Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(24).exe       发现风险： Gen:Heur.Zard.1 (B) [krnl.xmd]

已扫描       622
发现       14

扫描完成后：       2018-08-13 20:17:22
扫描时间：       0:00:12

显示全部楼层 · 发表于 2018-8-13 19:11:53

360杀毒扫描日志

病毒库版本：
扫描时间：2018-08-13 19:12:01
扫描用时：00:00:07
扫描类型：右键扫描
扫描文件总数：28
项目总数：21
清除项目数：21

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：未使用

扫描内容
----------------------
D:\360极速浏览器下载\PACKAGE 0813

白名单设置
----------------------

扫描结果
======================
高危风险项
----------------------
D:\360极速浏览器下载\PACKAGE 0813\0813(12).exe 后门程序(Backdoor.Win32.DarkKomet.A) 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(1).exe HEUR/QVM05.1.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(13).exe HEUR/QVM42.2.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(14).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(15).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(16).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(19).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(2).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(21).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(10).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(22).exe HEUR/QVM05.1.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(27).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(28).exe HEUR/QVM05.1.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(3).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(4).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(5).exe HEUR/QVM10.2.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(6).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(8).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(9).exe HEUR/QVM05.1.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(26).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(18).exe HEUR/QVM03.0.27FB.Malware.Gen 已删除

妈呀，差这么大，我是不是要说云反应太快？

显示全部楼层 · 发表于 2018-8-13 19:13:34

本帖最后由 Tmh 于 2018-8-13 19:14 编辑

智量 19：10
27/28

360 19：18
24/28
其中qvm报17个
和3楼完全不一样...反应速度很快

[病毒样本] #PACKAGE 0813

评分

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源