6x(2022/2/16)

swizzer

https://funami.lanzouw.com/iwuPy00631ij

761773275

SOPHOS 扫描杀3X 执行杀2 剩余一个DLL



执行

swizzer

锁库智量（2022/1/24）









miss 4k84cdsmp.exe
同时dll文件内存杀后IE似乎仍在占用CPU，这是否有影响？

@智量官方

ICzcz

ESET

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2022/2/16 21:07:46;文件系统实时防护;文件;6x\y8e4-23f.vbe;VBS/TrojanDownloader.Agent.WPW 特洛伊木马;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;2686D9E29AA7CB8246F2F4807C56022EAC1A5B8A;2022/2/16 21:07:42
   
3. 2022/2/16 21:07:46;文件系统实时防护;文件;6x\5120sdc.exe;Win32/Rozena.PL 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;577455D69DC3457AA5EA535872C88C31E122337E;2022/2/16 21:07:42
   
4. 2022/2/16 21:07:47;文件系统实时防护;文件;6x\h8r4g1fd.dll;Win32/GenKryptik.FQXS 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;514C1AA17BB07DFF3D56DFE9A2F4942D45DC1B85;2022/2/16 21:07:42
   
5. 2022/2/16 21:07:47;文件系统实时防护;文件;6x\4k84cds.exe;ML/Augur 特洛伊木马;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;38496A24022258D1D27768D38D9DC25363B0DC21;2022/2/16 21:07:42
   
6. 2022/2/16 21:07:47;文件系统实时防护;文件;6x\f84edc.dll;Win32/GenKryptik.FQXS 特洛伊木马 的变量;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (7F376D4246BAF8EC78DF354CF304BC773F5EFDA3).;0650D1F77E249CEFD4360C5779F4EBB2358E07F8;2022/2/16 21:07:42
   

复制代码

ELG分析中
好家伙，等不到ELG了，，，，


F:\AD\6x\4k84cdsmp.exe - Win32/Packed.VMProtect.AGR 可疑应用程序 的变量 - 已通过删除清除 [1]

心醉咖啡

火绒

swizzer

ICzcz 发表于 2022-2-16 21:05
ESET

ELG分析中

我这里还不杀···

ICzcz

swizzer 发表于 2022-2-16 21:23
我这里还不杀···

等ESET入库G报毒名吧

ericdj

Norton 扫描
kill x6, miss y8e4-23f.vbe
沙箱运行y8e4-23f.vbe，报错，但是Norton并未弹窗

1.    检测到的安全风险总数: 5
   
2.    已解决的项目总数: 5
   
3.    需要注意的项目总数: 0
   
4. 
   
5. 已解决的威胁:
   
6. Heur.AdvML.B
   
7. 类型: 异常
   
8. 风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
   
9. 类别: 启发式病毒
   
10. 状态: 完全解决
    
11. -----------
    
12. 1 个受感染文件
    
13. C:\Users\ \Desktop\suspicious\6x\4k84cds.exe - 不需要操作
    
14. 1 个浏览器缓存
    
15. 
    
16. 
    
17. 
    
18. Heur.AdvML.B
    
19. 类型: 异常
    
20. 风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
    
21. 类别: 启发式病毒
    
22. 状态: 完全解决
    
23. -----------
    
24. 1 个受感染文件
    
25. C:\Users\ \Desktop\suspicious\6x\h8r4g1fd.dll - 不需要操作
    
26. 1 个浏览器缓存
    
27. 
    
28. 
    
29. 
    
30. Trojan.Gen.2
    
31. 类型: 异常
    
32. 风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
    
33. 类别: 病毒
    
34. 状态: 完全解决
    
35. -----------
    
36. 1 个受感染文件
    
37. C:\Users\ \Desktop\suspicious\6x\h8r4g1fd.dll - 不需要操作
    
38. 1 个浏览器缓存
    
39. 
    
40. 
    
41. 
    
42. Heur.AdvML.B
    
43. 类型: 异常
    
44. 风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
    
45. 类别: 启发式病毒
    
46. 状态: 完全解决
    
47. -----------
    
48. 1 个受感染文件
    
49. C:\Users\ \Desktop\suspicious\6x\4k84cdsmp.exe - 不需要操作
    
50. 1 个浏览器缓存
    
51. 
    
52. 
    
53. 
    
54. Heur.AdvML.B
    
55. 类型: 异常
    
56. 风险: 高 (高 隐藏, 高 删除, 高 性能, 高 隐私)
    
57. 类别: 启发式病毒
    
58. 状态: 完全解决
    
59. -----------
    
60. 1 个受感染文件
    
61. C:\Users\ \Desktop\suspicious\6x\f84edc.dll - 不需要操作
    
62. 1 个浏览器缓存

复制代码

Solomondemeter

eset 清空

aboringman

ericdj 发表于 2022-2-16 21:34
Norton 扫描
kill x6, miss y8e4-23f.vbe
沙箱运行y8e4-23f.vbe，报错，但是Norton并未弹窗

双击触发自动防护和SONAR。

VBScript：CL.Suspexec!gen118

y8e4-23f.vbe：SONAR.UserProc!g1