#PACKAGE 0820

显示全部楼层 · 发表于 2018-8-20 19:06:24

本帖最后由 191196846 于 2018-8-21 20:15 编辑

Invalid Sample: 0820(13).exe

蓝奏

Total : 16

#勿传VT
#在样本有效期内（24小时），建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等
#样本序号以收集时间顺序排序，越大代表越接近现在时间

#原始样本在ESET LiveGrid 云系统被发现的时间

回帖格式建议

杀软名称 + 时间
查杀数量+查杀率

例如：
XXX 20:39
Samples(5/10) 50%

显示全部楼层 · 发表于 2018-8-20 19:16:18

本帖最后由静影沉璧于 2018-8-20 19:31 编辑

BD2019

时间19:19-19:29

----------扫描部分----------

8/16
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(12).exe Trojan.GenericKD.40413546 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(3).exe Trojan.GenericKD.40413351 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(9).exe Trojan.GenericKD.40414122 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(16).exe Trojan.Krypt.DS Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(11).exe Trojan.GenericKD.40414157 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(8).exe Gen:Variant.Barys.56662 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(14).exe Trojan.GenericKD.40412309 Deleted
C:\Users\Administrator.SXCSXC-AJKJJUBR\Desktop\PACKAGE 0820\0820(6).exe Trojan.Krypt.DS Deleted

----------双击部分----------

The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(1).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(2).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(4).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(5).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(7).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
The file c:\users\administrator.sxcsxc-ajkjjubr\desktop\package 0820\0820(15).exe is infected with Atc4.Detection and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.
剩余样本双击结果：
10号样本未杀掉本体，13号样本无法运行
Total：14/16=87.5%

显示全部楼层 · 发表于 2018-8-20 19:16:53

本帖最后由 BH2SUC 于 2018-8-20 19:31 编辑

NS占坑
NS 19：17
扫描剩余1、3、8、10、13

实机双击
1、3、8MISS，10号报错，13号MISS，机器又被安上了火狐。。。。

19:21
NS检测到大量出站访问，自动调用Power Eraser，删除大量exedll，防火墙拦截大量攻击

19：25
SONAR删除3号。。。。

19：28
清除完成，剩余13号

Total（15/16）=93.75%

显示全部楼层 · 发表于 2018-8-20 19:30:01

19:12 卡巴扫描 7  + 双击
1  PDM:Trojan.Win32.Generic
2  停止工作
3  PDM:Exploit.Win32.Generic.nblk
4  调用ie下载了什么，然后PowerShell:  PDM:Exploit.Win32.Generic
7  PDM:Trojan.Win32.Generic
8  本体不杀，衍生物 2865890.exe PDM:Trojan.Win32.Generic
10 无法保护firefox浏览器
13 不是有效的win32程序，改坏了
15 PDM:Trojan.Win32.Generic

显示全部楼层 · 发表于 2018-8-20 20:05:18

火绒扫描加双击结果，所有防护开启

【1】2018-08-20 20:03:19,系统防御,文件保护,agdfdffdffhit.bat触犯文件防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
命令行：C:\Windows\system32\cmd.exe /c C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
风险动作：修改启动目录(扩展保护)
目标文件：C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2018-08-20 20:03:18,病毒防御,文件实时监控,发现病毒HVM:Trojan/Deceiver.gen!B, 已清除

操作者：C:\Users\555\Desktop\PACKAGE 0820\0820(11).exe
病毒路径：C:\Users\555\AppData\Roaming\tmp.exe
病毒名称：HVM:Trojan/Deceiver.gen!B
病毒ID：2E3BBA30A4BDCBDC
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2018-08-20 20:02:00,系统防御,注册表保护,firefox.exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\is-S52VP.tmp\firefox.exe
命令行："C:\Users\555\AppData\Local\Temp\is-S52VP.tmp\firefox.exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
操作类型：写入
数据内容：C:\Users\555\AppData\Roaming\423AE8F782127BE1\firefox.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2018-08-20 20:01:46,系统防御,注册表保护,logs.exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\logs.exe
命令行："C:\Users\555\AppData\Local\logs.exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\App
操作类型：写入
数据内容：C:\Users\555\AppData\Local\logs.exe -boot
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2018-08-20 20:01:28,系统防御,文件保护,agdfdffdffhit.bat触犯文件防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
命令行：C:\Windows\system32\cmd.exe /c C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
风险动作：修改启动目录(扩展保护)
目标文件：C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2018-08-20 20:01:26,病毒防御,文件实时监控,发现病毒HVM:Trojan/Deceiver.gen!B, 已清除

操作者：C:\Users\555\Desktop\PACKAGE 0820\0820(11).exe
病毒路径：C:\Users\555\AppData\Roaming\tmp.exe
病毒名称：HVM:Trojan/Deceiver.gen!B
病毒ID：2E3BBA30A4BDCBDC
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2018-08-20 20:00:13,病毒防御,病毒查杀,自定义扫描，发现0个风险项目

病毒库：2018-08-20 16:11
开始时间：2018-08-20 19:59
总计用时：00:00:16
扫描对象：295个
扫描文件：15个
发现风险：0个
已处理风险：0个
发现系统修复项：0个
处理系统修复项：0个

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2018-08-20 19:59:37,病毒防御,文件实时监控,发现病毒Trojan/VBInject.b, 已清除

操作者：C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径：C:\Users\555\Desktop\PACKAGE 0820\0820(14).exe
病毒名称：Trojan/VBInject.b
病毒ID：E4BEEE39EA2E9885
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2018-8-20 19:17:41

智量这个小东西有点意思.,14/16=87,5%

都是ML报法
剩10和13

显示全部楼层 · 发表于 2018-8-20 19:19:32

本帖最后由 command360 于 2018-8-20 19:30 编辑

火绒 3/16 （18.75%）

显示全部楼层 · 发表于 2018-8-20 19:33:19

360 一扫
无红伞BD
剩余5个
二扫即将进行

显示全部楼层 · 发表于 2018-8-20 19:34:47

本帖最后由 WHALE-FALL 于 2018-8-20 22:12 编辑

WHALE-FALL 发表于 2018-8-20 19:33
360 一扫
无红伞BD
剩余5个

一分钟后剩余3个
3 11 1311低风险
3 13 暂无风险

显示全部楼层 · 发表于 2018-8-20 19:35:00

AVIRA 19:25
扫描11/16
双击4/5
(13)无法运行
Total:15/16

显示全部楼层 · 发表于 2018-8-20 19:40:44

费尔扫描加双击7/16 剩余9个
Total:7/16

[病毒样本] #PACKAGE 0820

本帖子中包含更多资源

评分

评分

评分

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源