查看: 4831|回复: 46
收起左侧

[病毒样本] #PACKAGE 0813

  [复制链接]
Jerry.Lin
发表于 2018-8-13 18:50:05 | 显示全部楼层 |阅读模式
蓝奏

Total : 28


#勿传VT
#在样本有效期内(24小时),建议无需手动上报样本至厂商,便于其他人测试行为拦截,响应速度等
#样本序号以收集时间顺序排序,越大代表越接近现在时间



#样本新鲜,建议尽快食用,凉了就不好吃了~




回帖格式建议


杀软名称 + 时间
查杀数量+查杀率


例如:
XXX 20:39
Samples(5/10) 50%

评分

参与人数 2人气 +6 收起 理由
wangkaka + 3 版区有你更精彩: )
神龟Turmi + 3

查看全部评分

静影沉璧
发表于 2018-8-13 18:59:47 | 显示全部楼层
本帖最后由 静影沉璧 于 2018-8-13 19:40 编辑

BD2019 19:09
扫描:16/28
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(20).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(9).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(1).exe Trojan.GenericKD.40394671 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(12).exe Trojan.Inject.AUZ Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(3).exe Trojan.GenericKD.40396265 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(22).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(24).exe Gen:Heur.Zard.1 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(6).exe Gen:Suspicious.Cloud.8.nn3@aGMiVkdi Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(8).exe Gen:Suspicious.Cloud.8.nn3@a4Gi16ji Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(18).exe Gen:Variant.Symmi.5666 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(17).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(28).exe Trojan.Delf.Agent.KN Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(10).exe Gen:Variant.Ursu.269787 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(11).exe Trojan.GenericKD.40395360 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(21).exe Gen:Variant.Razy.374451 Deleted
C:\Users\Administrator\Desktop\PACKAGE 0813\0813(14).exe Gen:Variant.Zusy.259769 Deleted

双击:
成功防御以下样本:
The file c:\users\administrator\desktop\package 0813\0813(2).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(4).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(5).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(7).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(13).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(15).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(27).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(26).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(25).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.此样本触发Ransomware Remediation)
The file c:\users\administrator\desktop\package 0813\0813(19).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator\desktop\package 0813\0813(16).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

剩余样本双击结果:
23号样本只杀衍生物,ATD回滚了衍生物的恶意操作,但是本体未杀
Total:27/28=96.4%

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1

查看全部评分

静影沉璧
发表于 2018-8-13 19:00:05 | 显示全部楼层
本帖最后由 静影沉璧 于 2018-8-13 20:36 编辑

avast高级版 19:56  虚拟机:
扫描:15/28
双击:
成功防御:
5号样本(IDP)
6号样本触发扫描后放行,之后IDP杀
13号样本文件防护杀
14号样本触发扫描后放行,之后IDP杀
15号样本触发扫描后放行,之后IDP杀
25号样本触发扫描后放行,之后IDP杀
26号样本触发扫描后放行,之后IDP杀
21号样本文件防护杀
剩余样本双击结果:
4号样本运行后自退
7号样本触发扫描后放行
8号样本触发扫描后放行
23号样本触发扫描后放行
27号样本触发扫描后放行
Total:23/28=82.1%
YU2711
发表于 2018-8-13 19:19:52 | 显示全部楼层
本帖最后由 YU2711 于 2018-8-13 19:23 编辑

SEP   18:57扫描部份25/28
剩下11 13 23
双击部份1/3
11Miss(内存自退)
13SONAR.SuspLaunch!g12
23Miss(内存)

总共:26/28

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1

查看全部评分

Picca
发表于 2018-8-13 19:34:36 | 显示全部楼层
本帖最后由 Karna 于 2018-8-13 19:40 编辑

19:02 卡巴扫描 17 + 双击
4  PDM:Trojan.Win32.Generic
5  PDM:Trojan.Win32.Badur.a
6  PDM:Trojan.Win32.Generic
7  运行退出
8  PDM:Trojan.Win32.Generic
10 部分报错,弹出对话框,手动结束
15 PDM:Trojan.Win32.Generic
19 PDM:Trojan.Win32.Generic
23 无法安装卡巴ssl证书,firefox浏览https不再受浏览监控保护,并不确定样本是否生效,可以看成miss
25 PDM:Trojan.Win32.Generic
27 PDM:Trojan.Win32.Generic


*测试单个样本未重启,未使用高级清除

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1

查看全部评分

ther
发表于 2018-8-13 19:45:34 | 显示全部楼层
本帖最后由 ther 于 2018-8-14 08:58 编辑

NS占位

----------
下面测过了。。文件名: 0813(11).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0813(11).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(11).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(11).exe 威胁已删除
文件: c:\users\ther1\ null 威胁已删除
文件: d:\360极速浏览器下载\ package 0813.zip 威胁已删除
文件: c:\windows\system32\tasks\ winxc26 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ winxc26, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ {9C163AA6-3302-4819-88A7-A9316148922C}, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v4.0.30319\ csc.exe, PID:9992 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:2944 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:1684 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: PE 文件创建: c:\users\ther1\ null (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(11).exe, PID:10268 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 0813(13).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0813(13).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(13).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(13).exe 需要重新启动
文件: c:\users\ther1\appdata\roaming\ linin.exe 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ tumor.cab 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ arx2kpmc_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ fiubjipw_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ -emkceau_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ ydj13mqh_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ 6pkrdun-_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ f(5).txt 威胁已删除
事件: 正在运行进程: d:\360极速浏览器下载\package 0813\ 0813(13).exe 已终止
目录: c:\Users\ther1\AppData\Local\Temp\ nsx3FE3.tmp 需要重新启动
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
(执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\ chewers.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\nsx3FE3.tmp\ System.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\users\ther1\appdata\roaming\ linin.exe (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ msiexec.exe, PID:1764 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:2124 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:928 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用23信誉杀一个dll
文件名: fat_x.dll
威胁名称: WS.Reputation.1完整路径: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\fat_x.dll

____________________________

____________________________


在电脑上
2018/8/13 ( 20:31:53 )

上次使用时间
2018/8/13 ( 20:33:50 )

启动项


已启动


威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任,不安全

____________________________


fat_x.dll 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有中等程度风险。


____________________________


来源: 外部介质

源文件:
fat_x.dll

____________________________

文件操作

受感染文件: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\ fat_x.dll 已修复
____________________________


文件指纹 - SHA:
0d147d4795eeca5efeef4af8911f3496916d66aec7ce04edf806f9681be8c44a
文件指纹 - MD5:
c7afb627a6f74b198a5dac506625b3b7








BH2SUC
发表于 2018-8-13 19:51:27 | 显示全部楼层
本帖最后由 BH2SUC 于 2018-8-13 20:04 编辑

NS 19:40   27/28
扫描剩余11、13、23。

实机双击
SONAR击杀11、13。
23号运行报错。

20:00
SONAR开始疯狂回滚
下载智能分析搞掉了很多dll
貌似自己还被装了不知道哪来的VC库

20:03
Appdata下被强制安装了FireFox而且数签好像有问题,NS文件信誉显示所有dll和exe信誉良好。。。。。

dg1vg4
发表于 2018-8-13 18:55:34 | 显示全部楼层
本帖最后由 dg1vg4 于 2018-8-13 19:09 编辑

卡巴斯基KIS2018  18:57
删除17个文件。





详细日志见:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
神龟Turmi
发表于 2018-8-13 18:55:44 | 显示全部楼层

360天擎 本地引擎+QEX 解压1x

扫描0x 总1/28 18:55

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
WHALE-FALL
发表于 2018-8-13 18:58:42 | 显示全部楼层
BD 扫描剩12个 双击的留给大神
静影沉璧
发表于 2018-8-13 19:00:23 | 显示全部楼层
本帖最后由 静影沉璧 于 2018-8-13 20:42 编辑

Emsisoft Emergency Kit - 版本 2018.6
上次更新: 2018年8月13日 星期一 下午 08:38:47
用户帐号: SXCSXC-AJKJJUBR\Administrator
电脑名称: SXCSXC-AJKJJUBR
操作系统版本: Windows 10x64

扫描设置:

扫描方式: 自定义扫描
对象: C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\

检测流氓软件(PUPs): On
扫描压缩包: On
扫描邮件存档: Off
ADS数据流: On
文件扩展名过滤: Off
直接磁盘访问: Off

扫描开始于:        2018年8月13日 星期一 下午 08:41:02
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(14).exe         发现风险: Trojan-Spy.Agent (A) [294310]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(11).exe         发现风险: Trojan.Crypt (A) [295036]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(12).exe         发现风险: Trojan.Inject.AUZ (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(20).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(1).exe         发现风险: Trojan.GenericKD.40394671 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(17).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(22).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(3).exe         发现风险: Trojan.GenericKD.40396265 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(28).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(24).exe         发现风险: Gen:Heur.Zard.1 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(9).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(10).exe         发现风险: Gen:Variant.Ursu.269787 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(18).exe         发现风险: Gen:Variant.Symmi.5666 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(21).exe         发现风险: Gen:Variant.Razy.374451 (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(6).exe         发现风险: Gen:Suspicious.Cloud.4.nn3@aGMiVkdi (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(8).exe         发现风险: Gen:Suspicious.Cloud.4.nn3@a4Gi16ji (B) [krnl.xmd]
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(25).exe         发现风险: Gen:Suspicious.Cloud.4.ru1@aysLTgcG (B) [krnl.xmd]

已扫描        28
发现        17

扫描完成:        2018年8月13日 星期一 下午 08:41:17
扫描时间:        0:00:15

C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(25).exe         Gen:Suspicious.Cloud.4.ru1@aysLTgcG (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(8).exe         Gen:Suspicious.Cloud.4.nn3@a4Gi16ji (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(6).exe         Gen:Suspicious.Cloud.4.nn3@aGMiVkdi (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(21).exe         Gen:Variant.Razy.374451 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(18).exe         Gen:Variant.Symmi.5666 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(10).exe         Gen:Variant.Ursu.269787 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(9).exe         Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(24).exe         Gen:Heur.Zard.1 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(28).exe         Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(3).exe         Trojan.GenericKD.40396265 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(22).exe         Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(17).exe         Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(1).exe         Trojan.GenericKD.40394671 (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(20).exe         Trojan.Delf.Agent.KN (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(12).exe         Trojan.Inject.AUZ (B)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(11).exe         Trojan.Crypt (A)
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\0813\0813(14).exe         Trojan-Spy.Agent (A)

删除        17
Total:17/28=60.7%
小飞侠.net
发表于 2018-8-13 19:00:36 | 显示全部楼层
本帖最后由 小飞侠.net 于 2018-8-13 20:25 编辑

                          ,,,                               ,,,      
  瑞星---(Windows 10 Creators Update(Redstone 4)....1803):云引擎(开)RDM+引擎(开)   
                瑞星反恶软引擎命令行扫描器(社区交流版)                 


编译于:Sep 22 2017   15:07:50

提示:
  - 本工具供社区交流使用,请勿用于其他用途
  - 本工具没有恶意软件删除、清除、隔离功能
  - 本工具包含开发中的新特性,结果仅供参考

* 命令行中的选项开关:-output-json -log=C:\瑞星RDM+引擎\ScanLog_180813202336.log
* 获取恶软签名库最新版本 ...
* 下载恶软签名库配置文件 ...
* 创建恶软签名库升级组件 ...
* 计算并下载增量文件 ...
* 升级恶软签名库 ...
* 恶软签名库升级成功
* 扫描目标 : (1) C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950

* 加载恶软签名库: C:\瑞星RDM+引擎/malware.rmd
* 恶软签名库加载成功,发布序号为 4760
* 读取恶软签名库配置 ...
* 云辅助扫描组件初始化失败.
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
* 初始化引擎环境 ...
扫描开始: Mon Aug 13 20:24:22 2018

{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(10).exe","infect":{"engine":"rdmk","signature":"cmRtazoFow6MFTnS2mjXDWlfKvH+","threat":"Malware.Heuristic!ET#98%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(13).exe","infect":{"engine":"rdmk","signature":"cmRtazo39MwCeFX11tiTSVDospKc","threat":"Malware.Heuristic!ET#93%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(16).exe","infect":{"engine":"rdmk","signature":"cmRtazrRpNp3VWIgJvrw39Iv7Tat","threat":"Spyware.Noon!8.E7C9"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(11).exe","infect":{"engine":"rdmk","signature":"cmRtazr1YwT0Sx85SrGa1m7/tLrO","threat":"Malware.Heuristic!ET#91%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(14).exe","infect":{"engine":"tfe","signature":"dGZlOgzapr7G5/6LIg","threat":"Spyware.Agent!8.C6"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(12).exe","infect":{"engine":"rdmk","signature":"cmRtazrqYEAUPbyxHxaVaMcsFLfi","threat":"Backdoor.Pontoeb!1.6637"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(1).exe","infect":{"engine":"rdmk","signature":"cmRtazr6In8fF6Znmv8H4IdomNg/","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(18).exe","infect":{"engine":"rdmk","signature":"cmRtazo9sgOSKjztNDcmYaPMKSAe","threat":"Trojan.Fuerboos!8.EFC8"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(2).exe","infect":{"engine":"rdmk","signature":"cmRtazp2TNuQnky5CJVCylCNatoo","threat":"Trojan.Injector!8.C4"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(21).exe","infect":{"engine":"rdmk","signature":"cmRtazpijvpY/3ydTChaou17coDl","threat":"Malware.Heuristic!ET#96%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(17).exe","infect":{"engine":"rdmk","signature":"cmRtazqR2YMgAL7QUEZLkg9tWnuk","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(20).exe","infect":{"engine":"rdmk","signature":"cmRtazq7K2sq1JHFU3FXw6612u2g","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(15).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(22).exe","infect":{"engine":"rdmk","signature":"cmRtazpDk9POelVYWfrUMbVFyB1x","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(25).exe","infect":{"engine":"rdmk","signature":"cmRtazrdIEMOAVR8wJdtbrpglVBg","threat":"Malware.Obscure/Heur!1.9E03"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(24).exe","infect":{"engine":"rdmk","signature":"cmRtazpRh5uV7qOhxIBz9WGgmHjp","threat":"Malware.Undefined!8.C"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(26).exe","infect":{"engine":"rdmk","signature":"cmRtazpb7jUKsQLqkB3mw6jydaFe","threat":"Malware.Heuristic!ET#88%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(3).exe","infect":{"engine":"rdmk","signature":"cmRtazpPCaVnIikaIAuEZm+fU3j1","threat":"Malware.Heuristic!ET#82%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(27).exe","infect":{"engine":"rdmk","signature":"cmRtazoTHmv3R8wuoDhlKmA6CNlm","threat":"Malware.Heuristic!ET#96%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(4).exe","infect":{"engine":"rdmk","signature":"cmRtazra979SYHCVRLmkvwWE+h+v","threat":"Malware.Heuristic!ET#85%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(28).exe","infect":{"engine":"rdmk","signature":"cmRtazrDmCsnDiG8+h2/WnzRSIE9","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(6).exe","infect":{"engine":"rdmk","signature":"cmRtazqJJnpkWFON1WzQqpo6846h","threat":"Trojan.GenKryptik!8.AA55"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(5).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(8).exe","infect":{"engine":"rdmk","signature":"cmRtazpgYKfplZQoNe2rYUFZhNMn","threat":"Malware.Heuristic!ET#87%"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(9).exe","infect":{"engine":"rdmk","signature":"cmRtazrTMTzd1DKmq2Nzbb2TcM0C","threat":"Trojan.Injector!1.AFE3"},"type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(19).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(7).exe","type":"scan"}
{"filename":"C:\\Users\\Admin\\Desktop\\AVtest100\\PACKAGE 0813FakeSysApp1950\\PACKAGE 0813\\0813(23).exe","type":"scan"}

扫描结束: Mon Aug 13 20:24:39 2018

总扫描耗时: 0:16:960(m:s:ms)
总扫描对象: 94
总扫描文件: 28
总恶意文件: 23
有效检出率: 82.14%




火绒安全---( Windows 7 Ultimate with SP1 简体中文旗舰版....):部分未知文件已发送到seclab@huorong.cn,等处理中。。。



病毒库:2018-08-13 17:07
开始时间:2018-08-13 19:15
总计用时:00:00:29
扫描对象:514个
扫描文件:28个
发现风险:8个
已处理风险:0个
发现系统修复项:0个
处理系统修复项:0个

病毒详情

风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(12).exe, 病毒名:Backdoor/Fynloski.a, 病毒ID:[853f2ad2e234ab95], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(14).exe, 病毒名:HEUR:Trojan/Agent.ai, 病毒ID:[fc6108915250b6ec], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(16).exe, 病毒名:Trojan/VBInject.b, 病毒ID:[e4beee39ea2e9885], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(18).exe, 病毒名:Trojan/VBInject.b, 病毒ID:[e4beee39ea2e9885], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(15).exe, 病毒名:HEUR:VirTool/VB.Obfuscator.gen!A, 病毒ID:[636e99dfed83873b], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(2).exe, 病毒名:Trojan/VBInject.b, 病毒ID:[e4beee39ea2e9885], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe, 病毒名:HEUR:Trojan/FakeSysApp.a, 病毒ID:[9507364c24517abd], 处理结果:已忽略
风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(25).exe, 病毒名:HEUR:VirTool/Obfuscator.gen!C, 病毒ID:[9f7c74f7afee22c], 处理结果:已忽略


文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813.zip
文件大小: 14.8 MB (15,562,199 字节)
修改时间: 2018年08月13日,19:07:57
MD5: 27C3C07EEA29CAC94EAB1E59BBFFF398
SHA1: E74C8F7672A1D7A110465C76F9925B9479879BF4
SHA256: 0044FDBF07C2F49294AD5B4DE8057299D8C83DD2A2BE0E52D519EBDDE6A1D09A
CRC32: 0BA828CA
计算时间: 0.76s


Kaspersky Lab。

您发送的文件、URL 或两者在自动模式下扫描。

在以下文件中检测到恶意代码:
0813(1).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(11).exe - HEUR:Backdoor.Win32.Agent.gen
0813(12).exe - Backdoor.Win32.DarkKomet.xyk
0813(13).exe - HEUR:Trojan-PSW.Win32.Agent.gen
0813(14).exe - HEUR:Trojan.Win32.Generic
0813(15).exe - Trojan.Win32.Khalesi.hue
0813(16).exe - Trojan-Spy.Win32.Noon.qld
0813(17).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(18).exe - Trojan-PSW.Win32.Fareit.ehhf
0813(2).exe - Trojan-Spy.Win32.Noon.qlo
0813(20).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(21).exe - HEUR:Trojan.Win32.Generic
0813(22).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(26).exe - HEUR:Trojan.Win32.Agent.gen
0813(28).exe - HEUR:Trojan-Spy.Win32.Agent.gen
0813(3).exe - HEUR:Backdoor.MSIL.Agent.gen
0813(9).exe - HEUR:Trojan-Spy.Win32.Agent.gen

附加的文件包含恶意代码。有关此代码的信息将添加到防病毒数据库中:
0813(10).exe - HEUR:Trojan-Ransom.Win32.Agent.gen
0813(24).exe - Trojan-PSW.Win32.Tepfer.psyfka
0813(27).exe - HEUR:Backdoor.Win32.Agent.gen
0813(4).exe - HEUR:Backdoor.Win32.Agent.gen
0813(6).exe - Trojan.Win32.VBKrypt.ztfd
0813(7).exe - HEUR:Trojan.MSIL.Agent.gen
0813(8).exe - Trojan.Win32.VBKrypt.ztes

在防病毒数据库中未找到有关指定文件的信息:
0813(19).exe
0813(23).exe
0813(25).exe
0813(5).exe

Dr.Web CureIt! 简体中文绿色免费版---( Windows 7 Ultimate with SP1 简体中文旗舰版....):

-----------------------------------------------------------------------------
Start scanning
-----------------------------------------------------------------------------
Command line used:-rpcep:\pipe\2C1700842 -rpcpr:np

Limit the use of the computer resources to 100%
Instances used for this session: 10
Object(s) to scan:
- C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813


C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(11).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(13).exe is NSIS container
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(16).exe - packed by FLY-CODE
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(13).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(16).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(10).exe is BINARYRES container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(10).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(12).exe - infected with BackDoor.Tordev.976
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(12).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(15).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(2).exe - packed by FLY-CODE
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(18).exe - packed by FLY-CODE
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(2).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(18).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(21).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(24).exe - packed by ASPROTECT
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(14).exe - is hacktool program Tool.PassView.1871
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(14).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(25).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(20).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(26).exe is ZLIB container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(26).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(22).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(1).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe\data001 is NET container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe\data003 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(4).exe - container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(5).exe - probably infected with DLOADER.Trojan
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(5).exe - infected
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(24).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(3).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(27).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(17).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(28).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(6).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(8).exe - Ok
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(9).exe - Ok
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe\data001 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(7).exe - Ok
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe\data003 is NET container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(19).exe - container
>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe is INNO SETUP container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\Script2.bin is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libeay32.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libevent-2-0-5.dll is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libevent_extra-2-0-5.dll - packed by FLY-CODE
>>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libevent_extra-2-0-5.dll is BINARYRES container
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libgcc_s_sjlj-1.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libgmp-10.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\libssp-0.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\ssleay32.dll - packed by FLY-CODE
>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\tor.exe is ZLIB container
>>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\tor.exe\data001 - packed by FLY-CODE
>>>>C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe\{tmp}\tor.exe\data001 is BINARYRES container
C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\PACKAGE 0813\0813(23).exe - container

Total 23373121 bytes in 28 files scanned (130 objects)
Total 25 files (127 objects) are clean
Total 2 files are infected----
Total 1 file are suspicious
Scan time is 00:00:11.181

ESET Endpoint Security 64位(高级启发式(Y)+压缩文件(Y)+自解压加壳(Y)+DNA智能签名(Y)++(Windows 10 Creators Update(Redstone 4)....1803):

日志
正在扫描日志
检测引擎的版本: 17874P (20180813)
日期: 2018-08-13  时间: 20:10:06
已扫描的磁盘、文件夹和文件: C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(1).exe - Win32/Injector.DZTO 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(10).exe - MSIL/Kryptik.OUA 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(11).exe - MSIL/Kryptik.PET 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(12).exe - Win32/Fynloski.AA 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(13).exe > NSIS > Script.nsi - NSIS/Injector.ACZ 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(13).exe > NSIS > chewers.dll - Win32/Injector.DZTQ 特洛伊木马 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(14).exe > CONFUSEREX > deobfuscated.exe - MSIL/Spy.Agent.AUS 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(16).exe - Win32/Injector.DZTN 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(17).exe - Win32/Injector.DZTO 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(18).exe - Win32/Injector.DZTN 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(19).exe - MSIL/Kryptik.PFC 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(2).exe - Win32/Injector.DZTN 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(20).exe - Win32/Injector.DZTO 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(21).exe - MSIL/Kryptik.PDU 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(22).exe - Win32/Injector.DZTO 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(23).exe > INNO > {tmp}\fat_x.dll - Win32/Kryptik.GJTU 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(24).exe - Win32/Injector.DYWV 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(25).exe - Win32/Kryptik.GJTR 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(26).exe - MSIL/Kryptik.PCF 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(27).exe - MSIL/Kryptik.PFC 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(28).exe - Win32/Injector.DZTO 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(3).exe - MSIL/Kryptik.PCF 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(4).exe - MSIL/Kryptik.PFC 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(6).exe - Win32/Injector.DZTZ 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(7).exe - Win32/Injector.DZTU 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(8).exe - Win32/Injector.DZTZ 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(9).exe - Win32/Injector.DZTO 特洛伊木马 的变种 - 通过删除清除 [1]
已扫描的对象数: 107
发现的威胁数: 27
已清除对象数: 27---又双叒叕上传VirusTotal?
完成时间: 20:10:44  总扫描时间: 38 秒 (00:00:38)

备注:
[1] 由于对象中仅包含病毒主体,因此已被删除。

Emsisoft Emergency Kit - 版本 2018.6
上次更新: 2018-08-13 18:53:49
用户帐号: TECLAST\Admin
电脑名称: TECLAST
操作系统版本: Windows 10 x64

Emsisoft Emergency Kit 绿色免费版
(已开启)加入 Emsisoft 云、更新源:测试版
    Bitdefender(B)+Emsisoft(A) 双引擎

扫描设置:

扫描方式: 自定义扫描
对象: Rootkits, C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\

检测流氓软件(PUPs): On
扫描压缩包: On
扫描邮件存档: Off
ADS数据流: On
文件扩展名过滤: Off
直接磁盘访问: Off

扫描开始于:        2018-08-13 20:17:10
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(11).exe         发现风险: Trojan.Crypt (A) [295036]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(14).exe         发现风险: Trojan-Spy.Agent (A) [294310]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(1).exe         发现风险: Trojan.GenericKD.40394671 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(12).exe         发现风险: Trojan.Inject.AUZ (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(17).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(10).exe         发现风险: Gen:Variant.Ursu.269787 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(20).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(18).exe         发现风险: Gen:Variant.Symmi.5666 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(22).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(21).exe         发现风险: Gen:Variant.Razy.374451 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(28).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(3).exe         发现风险: Trojan.GenericKD.40396265 (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(9).exe         发现风险: Trojan.Delf.Agent.KN (B) [krnl.xmd]
C:\Users\Admin\Desktop\AVtest100\PACKAGE 0813FakeSysApp1950\PACKAGE 0813\0813(24).exe         发现风险: Gen:Heur.Zard.1 (B) [krnl.xmd]

已扫描        622
发现        14

扫描完成后:        2018-08-13 20:17:22
扫描时间:        0:00:12






275751198
发表于 2018-8-13 19:11:53 | 显示全部楼层
360杀毒扫描日志

病毒库版本:
扫描时间:2018-08-13 19:12:01
扫描用时:00:00:07
扫描类型:右键扫描
扫描文件总数:28
项目总数:21
清除项目数:21

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:是
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:是
常规引擎设置:未使用

扫描内容
----------------------
D:\360极速浏览器下载\PACKAGE 0813


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
D:\360极速浏览器下载\PACKAGE 0813\0813(12).exe        后门程序(Backdoor.Win32.DarkKomet.A)        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(1).exe        HEUR/QVM05.1.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(13).exe        HEUR/QVM42.2.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(14).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(15).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(16).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(19).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(2).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(21).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(10).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(22).exe        HEUR/QVM05.1.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(27).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(28).exe        HEUR/QVM05.1.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(3).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(4).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(5).exe        HEUR/QVM10.2.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(6).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(8).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(9).exe        HEUR/QVM05.1.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(26).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除
D:\360极速浏览器下载\PACKAGE 0813\0813(18).exe        HEUR/QVM03.0.27FB.Malware.Gen        已删除



妈呀,差这么大,我是不是要说云反应太快?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Tmh
发表于 2018-8-13 19:13:34 | 显示全部楼层
本帖最后由 Tmh 于 2018-8-13 19:14 编辑

智量 19:10
27/28

360 19:18
24/28
其中qvm报17个
和3楼完全不一样...反应速度很快

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:15 , Processed in 0.161941 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表