搜索
楼主: 记录微笑
收起左侧

[病毒样本] 恶意推广软件

[复制链接]
www-tekeze
发表于 2019-7-28 00:25:24 | 显示全部楼层
a233 发表于 2019-7-28 00:13
突然想起来你好像没有用实体机双击过。。

变着法的玩?实体机还得卸了火绒?要不要退出影子?  
退出火绒双击,仍然只杀一个ipilajehlbfaj,game over 。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a233
发表于 2019-7-28 00:31:08 | 显示全部楼层
www-tekeze 发表于 2019-7-28 00:25
变着法的玩?实体机还得卸了火绒?要不要退出影子?  
退出火绒双击,仍然只杀一个ipilajehlbfaj ...

奇怪了,会不会是32位系统和64位系统的区别呢
中午装个智量试试看
www-tekeze
发表于 2019-7-28 00:36:59 | 显示全部楼层
a233 发表于 2019-7-28 00:31
奇怪了,会不会是32位系统和64位系统的区别呢
中午装个智量试试看

你以前也测过智量,但那时好像还是1.x版吧,现在是2.09,欢迎品尝。。   下线了。。。

a233
发表于 2019-7-28 00:42:08 | 显示全部楼层
www-tekeze 发表于 2019-7-28 00:36
你以前也测过智量,但那时好像还是1.x版吧,现在是2.09,欢迎品尝。。   下线了。。。

反正都是要当扫描器的,装装玩玩智量
记录微笑
 楼主| 发表于 2019-7-28 08:26:02 | 显示全部楼层
www-tekeze 发表于 2019-7-28 00:25
变着法的玩?实体机还得卸了火绒?要不要退出影子?  
退出火绒双击,仍然只杀一个ipilajehlbfaj ...

回头我看看咖啡GTI报哪一个不就知道了。
咖啡一般只识别真正触发主防的程序。
记录微笑
 楼主| 发表于 2019-7-28 09:22:44 | 显示全部楼层
本帖最后由 记录微笑 于 2019-7-28 11:24 编辑
www-tekeze 发表于 2019-7-28 00:25
变着法的玩?实体机还得卸了火绒?要不要退出影子?  
退出火绒双击,仍然只杀一个ipilajehlbfaj ...

将ipilajehlbfaj.exe从压缩包里删除后,双击,提示无法找到ipilajehlbfaj.exe,剩下的程序仍然正常安装,最后照样触发咖啡Real Protect并回滚。


日志里写的很清楚是主程序触发的主防:
  1. 自适应威胁防护已修复 C:\Users\Administrator\Desktop\infected.exe,因为其信誉 (已知恶意文件) 低于配置的清理阈值。
  2. 分析器/检测程序
  3. 产品名称        McAfee Endpoint Security
  4. 产品版本        10.6.1
  5. 功能名称        Real Protect Cloud

  6. 威胁
  7. 执行的操作        清理
  8. 威胁类别        检测到恶意软件
  9. 威胁事件 ID        35107
  10. 威胁已被处理        是
  11. 威胁名称        Real Protect.ci!F479D9A8E3A0
  12. 威胁严重性        严重
  13. 威胁时间戳        2019年7月28日 上午9:15
  14. 威胁类型        特洛伊木马程序


  15. 源访问时间        2019年7月28日 上午9:03
  16. 源创建时间        2019年4月23日 上午4:52
  17. 源文件路径        C:\Program Files\Sandboxie
  18. 源文件大小        2904728
  19. 源主机名        CONCISE-SA6CP0V
  20. 源修改时间        2019年4月23日 上午4:52
  21. 源进程名称        Start.exe
  22. 源用户名        CONCISE-SA6CP0V\Administrator

  23. 目标
  24. 目标哈希        F479D9A8E3A0599B9D603E0DD05E893D
  25. 目标主机名        CONCISE-SA6CP0V
  26. 目标名        infected.exe
  27. 目标路径        C:\Users\Administrator\Desktop
  28. 目标进程名        infected.exe
  29. 目标用户名        CONCISE-SA6CP0V\Administrator

  30. 其他
  31. 媒介类型        本地系统
  32. 检测消息        自适应威胁防护检测
  33. 检测隔离 ID        {568FCB76-8518-4581-AABB-02F35002897D}
复制代码


程序发上来给你看看
https://c-t.work/s/68f733b8c6cc4e

@ www-tekeze

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a233
发表于 2019-7-28 10:57:45 | 显示全部楼层
本帖最后由 a233 于 2019-7-28 11:23 编辑
www-tekeze 发表于 2019-7-28 00:36
你以前也测过智量,但那时好像还是1.x版吧,现在是2.09,欢迎品尝。。   下线了。。。

打开着智量的基础实时监控的情况下双击infected.exe,智量的实时监控没反应直接让程序运行了是什么情况?而且高级防护也没反应
智量是不是跟Avast有冲突?
a233
发表于 2019-7-28 11:38:05 | 显示全部楼层
本帖最后由 a233 于 2019-7-28 11:45 编辑
www-tekeze 发表于 2019-7-28 00:36
你以前也测过智量,但那时好像还是1.x版吧,现在是2.09,欢迎品尝。。   下线了。。。

发现冲突问题了,Avast和智量一起运行会导致资源管理器停止工作,关闭Avast的行为防护就正常了,后来我又试试关闭智量能不能解决冲突,结果还是不行,资源管理器仍然会停止工作
比火绒跟Avast的冲突还要严重










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-28 11:55:28 | 显示全部楼层
记录微笑 发表于 2019-7-27 23:41
这个是个自解压程序,安装脚本也是由自解压程序执行的,和那个程序没关系。
只有触发主防回滚才可能清理 ...

实际看下17楼火绒日志,就会发现是ipilajehlbfaj发起的,由它调用cmd来执行脚本,日志顺序是反的,第26条才是第一个动作。。。刚才又试了下,由ipilajehlbfaj调用了三次cmd,然后才是装百度影音和QQ浏览器。
所以彻底阻止ipilajehlbfaj就没后面的故事了。。


【1】2019-07-28 11:40:39,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:QQ浏览器
文件路径:C:\Users\Wzz\AppData\Local\Temp\V8._85416_20150820204011.exe
操作结果:已阻止

【2】2019-07-28 11:40:03,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:百度影音
文件路径:C:\Users\Wzz\AppData\Local\Temp\BaiduPlayer5SetupSilent_359.exe
操作结果:已阻止

【3】2019-07-28 11:39:44,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行:"C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目:[阻止]temp路径启动可疑进程
操作目标:【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果:已允许

【4】2019-07-28 11:39:41,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行:"C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目:[阻止]temp路径启动可疑进程
操作目标:【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果:已允许

【5】2019-07-28 11:39:35,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行:"C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目:[阻止]temp路径启动可疑进程
操作目标:【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果:已允许

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-28 12:00:06 | 显示全部楼层
a233 发表于 2019-7-28 10:57
打开着智量的基础实时监控的情况下双击infected.exe,智量的实时监控没反应直接让程序运行了是什么情况? ...
发现冲突问题了,Avast和智量一起运行会导致资源管理器停止工作,关闭Avast的行为防护就正常了,后来我又试试关闭智量能不能解决冲突,结果还是不行,资源管理器仍然会停止工作
比火绒跟Avast的冲突还要严重
小A和很多杀软都会冲突,所以才搞了个被动模式,呵呵,你自己慢慢试吧。。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-22 12:31 , Processed in 0.065438 second(s), 15 queries .

快速回复 返回顶部 返回列表