EXE样本5X_199

QVM360

RT，未改后缀请小心食用，后果自负。。



载点：https://www.lanzous.com/iallzob     密码：infected

a27573

ESET

Original 5/5

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21048 (20200324)
   
4. 日期: 2020/3/24  时间: 17:30:47
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_199\Original
   
6. F:\Virus\test\EXE样本5X_199\Original\1.exe - Win32/Adware.EoRezo.AU 应用程序 的变种 - 通过删除清除 [1]
   
7. F:\Virus\test\EXE样本5X_199\Original\2.exe - Win32/Spy.RTM.AI 特洛伊木马 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_199\Original\3.exe - Win32/Kryptik.HBYU 特洛伊木马 的变种 - 通过删除清除 [1]
   
9. F:\Virus\test\EXE样本5X_199\Original\4.exe - Win32/Injector.ELFD 特洛伊木马 的变种 - 通过删除清除 [1]
   
10. F:\Virus\test\EXE样本5X_199\Original\5.exe - Suspicious Object - 通过删除清除 [1]
    
11. 已扫描的对象数: 5
    
12. 检测数: 5
    
13. 已清除对象数: 5
    
14. 完成时间: 17:31:06  总扫描时间: 19 秒 (00:00:19)
    
15. 
    
16. 备注:
    
17. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

MD5 4/5

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21048 (20200324)
   
4. 日期: 2020/3/24  时间: 17:31:54
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_199\MD5
   
6. F:\Virus\test\EXE样本5X_199\MD5\1.exe - Win32/Adware.EoRezo.AU 应用程序 的变种 - 通过删除清除 [1]
   
7. F:\Virus\test\EXE样本5X_199\MD5\2.exe - Win32/Spy.RTM.AI 特洛伊木马 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_199\MD5\3.exe - Win32/Kryptik.HBYU 特洛伊木马 的变种 - 通过删除清除 [1]
   
9. F:\Virus\test\EXE样本5X_199\MD5\4.exe - Win32/Injector.ELFD 特洛伊木马 的变种 - 通过删除清除 [1]
   
10. 已扫描的对象数: 5
    
11. 检测数: 4
    
12. 已清除对象数: 4
    
13. 完成时间: 17:32:12  总扫描时间: 18 秒 (00:00:18)
    
14. 
    
15. 备注:
    
16. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

UPX 3/3

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21048 (20200324)
   
4. 日期: 2020/3/24  时间: 17:32:00
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_199\UPX
   
6. F:\Virus\test\EXE样本5X_199\UPX\1.exe - Win32/Ramnit.BQ 病毒 的变种 - 扫描完成后再选择处理方式
   
7. F:\Virus\test\EXE样本5X_199\UPX\2.exe - Win32/Spy.RTM.AI 特洛伊木马 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_199\UPX\4.exe - Win32/Injector.ELFD 特洛伊木马 的变种 - 通过删除清除 [1]
   
9. F:\Virus\test\EXE样本5X_199\UPX\1.exe - Win32/Ramnit.BQ 病毒 的变种 - 已删除
   
10. 已扫描的对象数: 3
    
11. 检测数: 3
    
12. 已清除对象数: 3
    
13. 完成时间: 17:32:10  总扫描时间: 10 秒 (00:00:10)
    
14. 
    
15. 备注:
    
16. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

ASPack 3/3

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21048 (20200324)
   
4. 日期: 2020/3/24  时间: 17:33:50
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_199\ASPack
   
6. F:\Virus\test\EXE样本5X_199\ASPack\1.exe - Win32/Ramnit.BQ 病毒 的变种 - 扫描完成后再选择处理方式
   
7. F:\Virus\test\EXE样本5X_199\ASPack\2.exe - Win32/Spy.RTM.AI 特洛伊木马 - 通过删除清除 [1]
   
8. F:\Virus\test\EXE样本5X_199\ASPack\4.exe - Win32/Injector.ELFD 特洛伊木马 的变种 - 通过删除清除 [1]
   
9. F:\Virus\test\EXE样本5X_199\ASPack\1.exe - Win32/Ramnit.BQ 病毒 的变种 - 已删除
   
10. 已扫描的对象数: 3
    
11. 检测数: 3
    
12. 已清除对象数: 3
    
13. 完成时间: 17:34:15  总扫描时间: 25 秒 (00:00:25)
    
14. 
    
15. 备注:
    
16. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

ZProtect 3/4

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21048 (20200324)
   
4. 日期: 2020/3/24  时间: 17:33:54
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_199\ZProtect
   
6. F:\Virus\test\EXE样本5X_199\ZProtect\1.zp.exe > ZProtect - Win32/Ramnit.A 病毒 - 扫描完成后再选择处理方式
   
7. F:\Virus\test\EXE样本5X_199\ZProtect\2.zp.exe > ZProtect - Win32/Spy.RTM.AI 特洛伊木马 - 扫描完成后再选择处理方式
   
8. F:\Virus\test\EXE样本5X_199\ZProtect\3.zp.exe > ZProtect - Win32/Kryptik.HBYU 特洛伊木马 的变种 - 扫描完成后再选择处理方式
   
9. F:\Virus\test\EXE样本5X_199\ZProtect\1.zp.exe > ZProtect - Win32/Ramnit.A 病毒 - 已删除
   
10. F:\Virus\test\EXE样本5X_199\ZProtect\2.zp.exe > ZProtect - Win32/Spy.RTM.AI 特洛伊木马 - 已删除
    
11. F:\Virus\test\EXE样本5X_199\ZProtect\3.zp.exe > ZProtect - Win32/Kryptik.HBYU 特洛伊木马 的变种 - 已删除
    
12. 已扫描的对象数: 12
    
13. 检测数: 3
    
14. 已清除对象数: 3
    
15. 完成时间: 17:34:10  总扫描时间: 16 秒 (00:00:16)
    

复制代码

VMProtect 1/4

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 21048 (20200324)
   
4. 日期: 2020/3/24  时间: 17:34:00
   
5. 已扫描的磁盘、文件夹和文件: F:\Virus\test\EXE样本5X_199\VMProtect
   
6. F:\Virus\test\EXE样本5X_199\VMProtect\4.vmp.exe - Win32/Packed.VMProtect.CZ 特洛伊木马 的变种 - 通过删除清除 [1]
   
7. 已扫描的对象数: 4
   
8. 检测数: 1
   
9. 已清除对象数: 1
   
10. 完成时间: 17:34:08  总扫描时间: 8 秒 (00:00:08)
    
11. 
    
12. 备注:
    
13. [1] 由于对象中仅包含病毒主体，因此已被删除。
    

复制代码

LSPD

Norton 扫描

1. 2020/3/24 17:32:18,高,检测到 3.exe (Heur.AdvML.B) (检测方: 自动防护),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 2
   
2. 2020/3/24 17:32:18,高,检测到 5.vmp.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
3. 2020/3/24 17:32:18,高,检测到 5.zp.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
4. 2020/3/24 17:32:18,高,检测到 3.zp.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
5. 2020/3/24 17:32:17,高,检测到 4.vmp.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
6. 2020/3/24 17:32:17,高,检测到 1.zp.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
7. 2020/3/24 17:32:17,高,检测到 2.zp.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
8. 2020/3/24 17:32:11,高,检测到 5.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已删除,已解决 - 不需要操作,已执行 威胁 操作: 1
   
9. 2020/3/24 17:32:11,高,检测到 3.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已删除,已解决 - 不需要操作,已执行 威胁 操作: 1
   
10. 2020/3/24 17:32:11,高,检测到 2.exe (Ransom.Cerber) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 2
    
11. 2020/3/24 17:32:11,高,检测到 3.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
    
12. 2020/3/24 17:32:11,高,检测到 1.exe (W32.Ramnit!inf) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 3
    
13. 2020/3/24 17:32:11,高,检测到 3.exe (Trojan.Gen.MBT) (检测方: 病毒扫描程序),已删除,已解决 - 不需要操作,已执行 威胁 操作: 2
    
14. 2020/3/24 17:32:11,高,检测到 5.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
    
15. 2020/3/24 17:32:10,高,检测到 2.exe (Packed.Generic.493) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 2
    
16. 2020/3/24 17:32:05,高,1.exe (W32.Ramnit!inf) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行  操作: 0
    
17. 2020/3/24 17:32:02,高,2.exe (Packed.Generic.493) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行  操作: 0
    
18. 2020/3/24 17:31:57,高,1.exe (W32.Ramnit!inf) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行  操作: 0
    
19. 2020/3/24 17:31:55,高,2.exe (Ransom.Cerber) 检测方 自动防护,已阻止,已解决 - 不需要操作,已执行  操作: 0

复制代码

双击杀1号，其余miss

1. 文件名: 1.exe
   
2. 威胁名称: SONAR.Dropper完整路径: 不可用
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上
   
10. 2020/3/24 ( 17:31:31 )
    
11. 
    
12. 上次使用时间
    
13. 2020/3/24 ( 17:31:31 )
    
14. 
    
15. 启动项
    
16. 否
    
17. 
    
18. 已启动
    
19. 是
    
20. 
    
21. SONAR 主动防护监视电脑上的可疑程序活动。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. 1.exe 威胁名称: SONAR.Dropper
    
27. 定位
    
28. 
    
29. 
    
30. 极少用户信任的文件
    
31. Norton 社区中有不到 5 名用户 使用了此文件。
    
32. 
    
33. 极新的文件
    
34. 该文件已在 不到 1 周 前发行。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. 来源: 外部介质
    
44. 
    
45. 源文件:
    
46. WinRAR.exe
    
47. 
    
48. 创建的文件:
    
49. 1.exe
    
50. 
    
51. ____________________________
    
52. 
    
53. 文件操作
    
54. 
    
55. 文件: c:\Users\msi\Desktop\新建文件夹 (2)\exe样本5x_199\exe样本5x_199\ASPack\ 1.exe 已删除
    
56. ____________________________
    
57. 
    
58. 网络操作
    
59. 
    
60. 事件: 已触发自动防护 (执行者 c:\users\msi\desktop\新建文件夹 (2)\exe样本5x_199\exe样本5x_199\aspack\1.exe, PID:1368) 未采取操作
    
61. ____________________________
    
62. 
    
63. 系统设置操作
    
64. 
    
65. 事件: 进程启动 (执行者 c:\users\msi\desktop\新建文件夹 (2)\exe样本5x_199\exe样本5x_199\aspack\1.exe, PID:1368) 未采取操作
    
66. (执行者 c:\users\msi\desktop\新建文件夹 (2)\exe样本5x_199\exe样本5x_199\aspack\1.exe, PID:1368) 未采取操作
    
67. 事件: PE 文件创建: c:\users\msi\desktop\新建文件夹 (2)\exe样本5x_199\exe样本5x_199\aspack\ 1srv.exe (执行者 c:\users\msi\desktop\新建文件夹 (2)\exe样本5x_199\exe样本5x_199\aspack\1.exe, PID:1368) 未采取操作
    
68. ____________________________
    
69. 
    
70. 
    
71. 文件指纹 - SHA:
    
72. 不可用
    
73. 文件指纹 - MD5:
    
74. 不可用
    

复制代码

a233

Avast
Original 5/5
MD5 5/5
UPX 2/3
ZProtect 1/4
Aspack 2/3
VMP 2/4
算了不双击了，上报

暗_黑

a233 发表于 2020-3-24 17:34
Avast
Original 5/5
MD5 5/5

俺想问一下：avast的主动防御是什么？（IDP？DeepScreen，CybercCapture？）

a233

暗_黑 发表于 2020-3-24 17:43
俺想问一下：avast的主动防御是什么？（IDP？DeepScreen，CybercCapture？）

IDP和DeepScreen

暗_黑

a233 发表于 2020-3-24 17:44
IDP和DeepScreen

IDP全称是？cybercapture属于扫描？

救命稻草

Avira Free
ASpack 2/3
MD5 5/5
Original 5/5
UPX 3/3
VMProtect 4/4
ZProtect 4/4

swizzer

暗_黑 发表于 2020-3-24 17:44
IDP全称是？cybercapture属于扫描？

IDP是AVG时期的称呼，沿用下来了。=IdentityProtection。
CyberCapture是DeepScreen检测到可疑后触发的机制，自动上传+云端判定。但比红伞APC慢一点，触发概率也不高

暗_黑

swizzer 发表于 2020-3-24 17:48
IDP是AVG时期的称呼，沿用下来了。=IdentityProtection。
CyberCapture是DeepScreen检测到可疑后触发的 ...

Thx~明天给糖