#GoGoogle (2020-08-18)

WAR314159

ESET KILL

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2020/8/19 20:10:24;文件系统实时防护;文件;C:\Users\AppData\Local\Temp\BNZ.5f3d16ac21ecdc3\bild.exe;Win32/Filecoder.GoGoogle.C 特洛伊木马 的变种;通过删除清除;DESKTOP-PTTR5MT;在应用程序新建的文件上发生事件: C:\Program Files\Bandizip\Bandizip.exe (103F35C2A271F39642571BC73D10C3EEB1D91B39).;C0EF2C46687C940BEB20566101FB9CAB45299698;2020/8/19 18:46:15
   

复制代码

非正规ID

火绒扫描miss双击

1. 【1】2020-08-19 20:09:34,系统防护,系统加固,reg.exe触犯注册表防护规则, 已阻止
   
2. 
   
3. 操作进程：C:\Windows\system32\reg.exe
   
4. 命令行："C:\Windows\system32\reg.exe"  ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d %windir%\system32\cmd.exe
   
5. 父进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
6. 防护项目：映像劫持项
   
7. 目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe\Debugger
   
8. 操作类型：【修改】
   
9. 数据内容：%windir%\system32\cmd.exe
   
10. 操作结果：已阻止
    
11. 
    
12. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
13. 
    
14. 【2】2020-08-19 20:09:34,系统防护,系统加固,reg.exe触犯注册表防护规则, 已阻止
    
15. 
    
16. 操作进程：C:\Windows\system32\reg.exe
    
17. 命令行："C:\Windows\system32\reg.exe"  ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f /v Debugger /t REG_SZ /d "Hotkey Disabled"
    
18. 父进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
19. 防护项目：映像劫持项
    
20. 目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
    
21. 操作类型：【修改】
    
22. 数据内容：Hotkey Disabled
    
23. 操作结果：已阻止
    
24. 
    
25. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
26. 
    
27. 【3】2020-08-19 20:09:29,系统防护,系统加固,powershell.exe触犯敏感动作防护规则, 已阻止
    
28. 
    
29. 操作进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
30. 命令行：powershell.exe -NoExit -Command -
    
31. 父进程：C:\Users\Administrator\Desktop\bild.exe
    
32. 防护项目：命令行删除卷影还原点
    
33. 执行文件：C:\Windows\system32\vssadmin.exe
    
34. 执行命令行："C:\Windows\system32\vssadmin.exe"  Delete Shadows /All /Quiet
    
35. 操作结果：已阻止
    
36. 
    
37. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
38. 
    
39. 【4】2020-08-19 20:09:27,系统防护,系统加固,powershell.exe触犯敏感动作防护规则, 已阻止
    
40. 
    
41. 操作进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
42. 命令行：powershell.exe -NoExit -Command -
    
43. 父进程：C:\Users\Administrator\Desktop\bild.exe
    
44. 防护项目：命令行删除卷影还原点
    
45. 执行文件：C:\Windows\System32\Wbem\WMIC.exe
    
46. 执行命令行："C:\Windows\System32\Wbem\WMIC.exe"  SHADOWCOPY DELETE
    
47. 操作结果：已阻止
    
48. 
    
49. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码

出现：

intherain

hnzxa

ZoneAlarm KILL

swizzer

川建国代理人 发表于 2020-8-19 18:52
智量V2.66（高启发）Miss

智量 8.16的病毒库

双击杀

1. Time                FilePath                                                                                           VirusName
   
2. 2020-08-19 22:47:12 D:\$aa\bild\bild.exe                                                                                WIBD:HEUR.Ransom.D  
   
3. 2020-08-19 22:47:08 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe                                           WIBD:HEUR.Ransom.D0
   

复制代码

川建国代理人

swizzer 发表于 2020-8-19 22:48
智量 8.16的病毒库

双击杀

原来是powershell脚本攻击啊，我这里没条件双击，感谢解答：）
现在桌面监控已经Kill了

as821995298

GoGoogle里面的文件？