#PACKAGE 0820

WHALE-FALL

WHALE-FALL 发表于 2018-8-20 19:34
一分钟后剩余3个
3 11 1311低风险
3 11 暂无风险

低风险指的是360在下载时会提示有风险但扫描不报。
这个怎么算？

Jirehlov1234

静影沉璧 发表于 2018-8-20 19:16
BD2019
时间19:19-19:29
----------扫描部分----------

补充一下，10号衍生物firefox.exe触发ATD的漏洞防护

0820(10).exe和0806(4).exe类似

静影沉璧

Jirehlov1234 发表于 2018-8-20 19:46
补充一下，10号衍生物firefox.exe触发ATD的漏洞防护

0820(10).exe和0806(4).exe类似

是的

心痛的伤不起

火绒扫描加双击结果，所有防护开启

【1】2018-08-20 20:03:19,系统防御,文件保护,agdfdffdffhit.bat触犯文件防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
命令行：C:\Windows\system32\cmd.exe /c C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
风险动作：修改启动目录(扩展保护)
目标文件：C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2018-08-20 20:03:18,病毒防御,文件实时监控,发现病毒HVM:Trojan/Deceiver.gen!B, 已清除

操作者：C:\Users\555\Desktop\PACKAGE 0820\0820(11).exe
病毒路径：C:\Users\555\AppData\Roaming\tmp.exe
病毒名称：HVM:Trojan/Deceiver.gen!B
病毒ID：2E3BBA30A4BDCBDC
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2018-08-20 20:02:00,系统防御,注册表保护,firefox.exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\is-S52VP.tmp\firefox.exe
命令行："C:\Users\555\AppData\Local\Temp\is-S52VP.tmp\firefox.exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
操作类型：写入
数据内容：C:\Users\555\AppData\Roaming\423AE8F782127BE1\firefox.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2018-08-20 20:01:46,系统防御,注册表保护,logs.exe触犯注册表防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\logs.exe
命令行："C:\Users\555\AppData\Local\logs.exe"
风险动作：修改启动项
目标注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\App
操作类型：写入
数据内容：C:\Users\555\AppData\Local\logs.exe -boot
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2018-08-20 20:01:28,系统防御,文件保护,agdfdffdffhit.bat触犯文件防护规则, 已阻止

操作者：C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
命令行：C:\Windows\system32\cmd.exe /c C:\Users\555\AppData\Local\Temp\agdfdffdffhit.bat
风险动作：修改启动目录(扩展保护)
目标文件：C:\Users\555\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2018-08-20 20:01:26,病毒防御,文件实时监控,发现病毒HVM:Trojan/Deceiver.gen!B, 已清除

操作者：C:\Users\555\Desktop\PACKAGE 0820\0820(11).exe
病毒路径：C:\Users\555\AppData\Roaming\tmp.exe
病毒名称：HVM:Trojan/Deceiver.gen!B
病毒ID：2E3BBA30A4BDCBDC
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2018-08-20 20:00:13,病毒防御,病毒查杀,自定义扫描，发现0个风险项目

病毒库：2018-08-20 16:11
开始时间：2018-08-20 19:59
总计用时：00:00:16
扫描对象：295个
扫描文件：15个
发现风险：0个
已处理风险：0个
发现系统修复项：0个
处理系统修复项：0个

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2018-08-20 19:59:37,病毒防御,文件实时监控,发现病毒Trojan/VBInject.b, 已清除

操作者：C:\Program Files (x86)\360\360zip\360zip.exe
病毒路径：C:\Users\555\Desktop\PACKAGE 0820\0820(14).exe
病毒名称：Trojan/VBInject.b
病毒ID：E4BEEE39EA2E9885
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

wangkaka

@191196846 小a最近主防规则库升级了2kb，就这2kb有了一个巨大的效果，主防能防御无文件威胁攻击了。今天样本有一个报毒：IDP.ALEXA.51-Fileless malware。
这个报毒应该就是最近新增加的

顺便eset（8月3日毒库）：2/16
日志
C:\Users\wangj\Desktop\PACKAGE 0820\0820(11).exe > SMARTASSEMBLY > deobfuscated.exe - MSIL/TrojanDropper.Agent.DVX 特洛伊木马 的变种 - 通过删除清除 [1]
C:\Users\wangj\Desktop\PACKAGE 0820\0820(8).exe - Win32/GenKryptik.CDLQ 特洛伊木马 的变种 - 通过删除清除 [1]

InnoriaAlter

ESET剩下3个.......
时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希;在此处第一次看到
2018/8/20 20:47:28;文件系统实时防护;文件;D:\PACKAGE 0820\0820(1).exe;Generik.CFTWGDD 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;07F8BEE7BCEA847033DF1656D6D49FB9C6826824;2018/8/20 20:47:17
2018/8/20 20:47:28;文件系统实时防护;文件;D:\PACKAGE 0820\0820(16).exe;Win32/Injector.DZWU 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;9CFDBA0D573358BCEA121CEE76C95FEC1F15907B;2018/8/20 20:47:17
2018/8/20 20:47:28;文件系统实时防护;文件;D:\PACKAGE 0820\0820(12).exe;Win32/Injector.DZWU 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;69FD5A258E4541EC3510C6D8E23631A6D4F40598;2018/8/20 20:47:17
2018/8/20 20:47:28;文件系统实时防护;文件;D:\PACKAGE 0820\0820(9).exe;MSIL/Kryptik.PHG 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;D9F91DE60D5553F5043F9029C725D2DEEAF75FF8;2018/8/20 20:47:18
2018/8/20 20:47:28;文件系统实时防护;文件;D:\PACKAGE 0820\0820(15).exe;Suspicious Object;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;2AE7F75C63E9E5E544310CBCF8F05A2A36A65848;2018/8/20 20:47:17
2018/8/20 20:47:29;文件系统实时防护;文件;D:\PACKAGE 0820\0820(4).exe;Suspicious Object;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;2E7BA5C7E8FF15EC858794341313305D9FE61D6D;2018/8/20 20:47:17
2018/8/20 20:47:29;文件系统实时防护;文件;D:\PACKAGE 0820\0820(2).exe;MSIL/Injector.TWG 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;01D20757D0950F223AF24CFCA852A8F7E54493A3;2018/8/20 20:47:17
2018/8/20 20:47:29;文件系统实时防护;文件;D:\PACKAGE 0820\0820(7).exe;Win32/Kryptik.GJYW 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;6896453EC1954F42887749132AA1F50E84D61BE6;2018/8/20 20:47:17
2018/8/20 20:47:29;文件系统实时防护;文件;D:\PACKAGE 0820\0820(11).exe;Win32/TrojanDropper.Agent.RZN 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;DE5E3F5442464B13A2FC33382FD71488A9C37671;2018/8/20 20:47:17
2018/8/20 20:47:29;文件系统实时防护;文件;D:\PACKAGE 0820\0820(6).exe;Win32/Injector.DZWU 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;25D1D52134ED100E2BD7E5864A01B3DBEA1DAA75;2018/8/20 20:47:17
2018/8/20 20:47:29;文件系统实时防护;文件;D:\PACKAGE 0820\0820(8).exe;Win32/GenKryptik.CDLQ 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;58542E9CF1E379D2D6FB26FE07D8FA8F9098A97E;2018/8/20 20:47:18
2018/8/20 20:47:30;文件系统实时防护;文件;D:\PACKAGE 0820\0820(5).exe;Win32/Kryptik.GJVM 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;6455276C50E7DEC6F276AB2AAB1C52266B41FC0E;2018/8/20 20:47:17
2018/8/20 20:47:31;文件系统实时防护;文件;D:\PACKAGE 0820\0820(14).exe;Win32/Injector.DZWP 特洛伊木马 的变种;通过删除清除;DESKTOP-GFE9EJV\Lenovo;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1411AFD2E1607110E699857A46286E807AEA0964).;4E711C4F7C158C299DB57A11C414605185791F65;2018/8/20 20:47:17

Jerry.Lin

wangkaka 发表于 2018-8-20 20:44
@191196846 小a最近主防规则库升级了2kb，就这2kb有了一个巨大的效果，主防能防御无文件威胁攻击了。今天样 ...

Deepscan 连得上吗？

wangkaka

191196846 发表于 2018-8-20 20:56
Deepscan 连得上吗？

昨天有一个样本连上了，今天又完全失效了
我只在虚拟机用了，实机eset（dp失效，小a等于废了一半）

www-tekeze

又来晚了，火绒、智量都有了。。    顶下楼主吧。。。

www-tekeze

y3312068 发表于 2018-8-20 20:05
火绒扫描加双击结果，所有防护开启

【1】2018-08-20 20:03:19,系统防御,文件保护,agdfdffdffhit.bat触犯 ...

老铁，以后火绒的双击就交给你了。。