恶意推广软件

显示全部楼层 · 发表于 2019-7-28 00:25:24

a233 发表于 2019-7-28 00:13
突然想起来你好像没有用实体机双击过。。

变着法的玩？实体机还得卸了火绒？要不要退出影子？

退出火绒双击，仍然只杀一个ipilajehlbfaj，game over 。。

显示全部楼层 · 发表于 2019-7-28 00:31:08

www-tekeze 发表于 2019-7-28 00:25
变着法的玩？实体机还得卸了火绒？要不要退出影子？
退出火绒双击，仍然只杀一个ipilajehlbfaj ...

奇怪了，会不会是32位系统和64位系统的区别呢
中午装个智量试试看

显示全部楼层 · 发表于 2019-7-28 00:36:59

a233 发表于 2019-7-28 00:31
奇怪了，会不会是32位系统和64位系统的区别呢
中午装个智量试试看

你以前也测过智量，但那时好像还是1.x版吧，现在是2.09，欢迎品尝。。

下线了。。。

显示全部楼层 · 发表于 2019-7-28 00:42:08

www-tekeze 发表于 2019-7-28 00:36
你以前也测过智量，但那时好像还是1.x版吧，现在是2.09，欢迎品尝。。下线了。。。

反正都是要当扫描器的，装装玩玩智量

显示全部楼层 · 发表于 2019-7-28 08:26:02

www-tekeze 发表于 2019-7-28 00:25
变着法的玩？实体机还得卸了火绒？要不要退出影子？
退出火绒双击，仍然只杀一个ipilajehlbfaj ...

回头我看看咖啡GTI报哪一个不就知道了。
咖啡一般只识别真正触发主防的程序。

显示全部楼层 · 发表于 2019-7-28 09:22:44

本帖最后由记录微笑于 2019-7-28 11:24 编辑

www-tekeze 发表于 2019-7-28 00:25
变着法的玩？实体机还得卸了火绒？要不要退出影子？
退出火绒双击，仍然只杀一个ipilajehlbfaj ...

将ipilajehlbfaj.exe从压缩包里删除后，双击，提示无法找到ipilajehlbfaj.exe，剩下的程序仍然正常安装，最后照样触发咖啡Real　Protect并回滚。

日志里写的很清楚是主程序触发的主防：

自适应威胁防护已修复 C:\Users\Administrator\Desktop\infected.exe，因为其信誉 (已知恶意文件) 低于配置的清理阈值。
分析器/检测程序
产品名称 McAfee Endpoint Security
产品版本 10.6.1
功能名称 Real Protect Cloud
威胁
执行的操作清理
威胁类别检测到恶意软件
威胁事件 ID 35107
威胁已被处理是
威胁名称 Real Protect.ci!F479D9A8E3A0
威胁严重性严重
威胁时间戳 2019年7月28日上午9:15
威胁类型特洛伊木马程序
源
源访问时间 2019年7月28日上午9:03
源创建时间 2019年4月23日上午4:52
源文件路径 C:\Program Files\Sandboxie
源文件大小 2904728
源主机名 CONCISE-SA6CP0V
源修改时间 2019年4月23日上午4:52
源进程名称 Start.exe
源用户名 CONCISE-SA6CP0V\Administrator
目标
目标哈希 F479D9A8E3A0599B9D603E0DD05E893D
目标主机名 CONCISE-SA6CP0V
目标名 infected.exe
目标路径 C:\Users\Administrator\Desktop
目标进程名 infected.exe
目标用户名 CONCISE-SA6CP0V\Administrator
其他
媒介类型本地系统
检测消息自适应威胁防护检测
检测隔离 ID {568FCB76-8518-4581-AABB-02F35002897D}

复制代码

程序发上来给你看看
https://c-t.work/s/68f733b8c6cc4e

@ www-tekeze

显示全部楼层 · 发表于 2019-7-28 10:57:45

本帖最后由 a233 于 2019-7-28 11:23 编辑

www-tekeze 发表于 2019-7-28 00:36
你以前也测过智量，但那时好像还是1.x版吧，现在是2.09，欢迎品尝。。下线了。。。

打开着智量的基础实时监控的情况下双击infected.exe，智量的实时监控没反应直接让程序运行了是什么情况？而且高级防护也没反应
智量是不是跟Avast有冲突？

显示全部楼层 · 发表于 2019-7-28 11:38:05

本帖最后由 a233 于 2019-7-28 11:45 编辑

www-tekeze 发表于 2019-7-28 00:36
你以前也测过智量，但那时好像还是1.x版吧，现在是2.09，欢迎品尝。。下线了。。。

发现冲突问题了，Avast和智量一起运行会导致资源管理器停止工作，关闭Avast的行为防护就正常了，后来我又试试关闭智量能不能解决冲突，结果还是不行，资源管理器仍然会停止工作
比火绒跟Avast的冲突还要严重

显示全部楼层 · 发表于 2019-7-28 11:55:28

记录微笑发表于 2019-7-27 23:41
这个是个自解压程序，安装脚本也是由自解压程序执行的，和那个程序没关系。
只有触发主防回滚才可能清理 ...

实际看下17楼火绒日志，就会发现是ipilajehlbfaj发起的，由它调用cmd来执行脚本，日志顺序是反的，第26条才是第一个动作。。。刚才又试了下，由ipilajehlbfaj调用了三次cmd，然后才是装百度影音和QQ浏览器。
所以彻底阻止ipilajehlbfaj就没后面的故事了。。

【1】2019-07-28 11:40:39,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件，已阻止

操作进程：C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件：QQ浏览器
文件路径：C:\Users\Wzz\AppData\Local\Temp\V8._85416_20150820204011.exe
操作结果：已阻止

【2】2019-07-28 11:40:03,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件，已阻止

操作进程：C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件：百度影音
文件路径：C:\Users\Wzz\AppData\Local\Temp\BaiduPlayer5SetupSilent_359.exe
操作结果：已阻止

【3】2019-07-28 11:39:44,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程：C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行："C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目：[阻止]temp路径启动可疑进程
操作目标：【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果：已允许

【4】2019-07-28 11:39:41,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程：C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行："C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目：[阻止]temp路径启动可疑进程
操作目标：【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果：已允许

【5】2019-07-28 11:39:35,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程：C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行："C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目：[阻止]temp路径启动可疑进程
操作目标：【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果：已允许

显示全部楼层 · 发表于 2019-7-28 12:00:06

a233 发表于 2019-7-28 10:57
打开着智量的基础实时监控的情况下双击infected.exe，智量的实时监控没反应直接让程序运行了是什么情况？ ...

发现冲突问题了，Avast和智量一起运行会导致资源管理器停止工作，关闭Avast的行为防护就正常了，后来我又试试关闭智量能不能解决冲突，结果还是不行，资源管理器仍然会停止工作
比火绒跟Avast的冲突还要严重

小A和很多杀软都会冲突，所以才搞了个被动模式，呵呵，你自己慢慢试吧。。

[病毒样本] 恶意推广软件

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源