查看: 4516|回复: 13
收起左侧

[分享] 感谢火绒拯救了我才重装的系统,运行下载程序需谨慎!

[复制链接]
hiphoper
发表于 2022-8-12 16:27:34 | 显示全部楼层 |阅读模式
本帖最后由 hiphoper 于 2022-8-13 09:46 编辑

为了玩个游戏,一通操作猛如虎,找到汉化补丁,两个下载链接里的程序都是带毒的,还好我有火绒!
手动对压缩包扫描没有任何反应,运行解压缩后的EXE文件,火绒立马提示发现病毒!
病毒样本已发送样本区,跳转链接:阿里云分享病毒样本提取和正体_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
附上火绒安全日志:
【1】2022-08-12 14:57:54,病毒防护,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!C, 已处理

病毒名称:HEUR:VirTool/Obfuscator.gen!C
病毒ID:09F7C74F7AFEE22C
病毒路径:C:\Users\Dell\AppData\Local\Microsoft\Windows\INetCache\IE\GCNVK0PH\123[1].exe
操作类型:修改
操作结果:已处理

进程ID:5832
操作进程:C:\Windows\SysWOW64\explorer.exe
操作进程命令行:explorer.exe 100
父进程:C:\Users\Dell\AppData\Local\Temp\is-J81OD.tmp\setup.tmp
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2022-08-12 14:57:54,病毒防护,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!C, 已处理

病毒名称:HEUR:VirTool/Obfuscator.gen!C
病毒ID:09F7C74F7AFEE22C
病毒路径:C:\Users\Dell\AppData\Local\Temp\1eVI8khid.exe
操作类型:修改
操作结果:已处理

进程ID:5832
操作进程:C:\Windows\SysWOW64\explorer.exe
操作进程命令行:explorer.exe 100
父进程:C:\Users\Dell\AppData\Local\Temp\is-J81OD.tmp\setup.tmp
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2022-08-12 14:48:42,病毒防护,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!C, 已处理

病毒名称:HEUR:VirTool/Obfuscator.gen!C
病毒ID:09F7C74F7AFEE22C
病毒路径:C:\Users\Dell\AppData\Local\Microsoft\Windows\INetCache\IE\770NYXV6\123[1].exe
操作类型:修改
操作结果:已处理

进程ID:5776
操作进程:C:\Windows\SysWOW64\explorer.exe
操作进程命令行:explorer.exe 92
父进程:C:\Users\Dell\AppData\Local\Temp\is-KG99D.tmp\setup.tmp
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2022-08-12 14:48:42,病毒防护,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!C, 已处理

病毒名称:HEUR:VirTool/Obfuscator.gen!C
病毒ID:09F7C74F7AFEE22C
病毒路径:C:\Users\Dell\AppData\Local\Temp\U4fWWHuzf.exe
操作类型:修改
操作结果:已处理

进程ID:5776
操作进程:C:\Windows\SysWOW64\explorer.exe
操作进程命令行:explorer.exe 92
父进程:C:\Users\Dell\AppData\Local\Temp\is-KG99D.tmp\setup.tmp
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2022-08-12 14:48:21,病毒防护,病毒查杀,自定义扫描, 发现0个风险项目

病毒库时间:2022-08-11 17:54
开始时间:2022-08-12 14:48
总计用时:00:00:06
扫描对象:11
扫描文件:1
发现风险:0
已处理风险:0


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2022-08-12 14:47:33,病毒防护,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!C, 已处理

病毒名称:HEUR:VirTool/Obfuscator.gen!C
病毒ID:09F7C74F7AFEE22C
病毒路径:C:\Users\Dell\AppData\Local\Microsoft\Windows\INetCache\IE\GJDSJYGQ\123[1].exe
操作类型:修改
操作结果:已处理

进程ID:192
操作进程:C:\Windows\SysWOW64\explorer.exe
操作进程命令行:explorer.exe 92
父进程:C:\Users\Dell\AppData\Local\Temp\is-LSRO2.tmp\setup.tmp
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2022-08-12 14:47:33,病毒防护,文件实时监控,发现病毒HEUR:VirTool/Obfuscator.gen!C, 已处理

病毒名称:HEUR:VirTool/Obfuscator.gen!C
病毒ID:09F7C74F7AFEE22C
病毒路径:C:\Users\Dell\AppData\Local\Temp\SlIr4xtGO.exe
操作类型:修改
操作结果:已处理

进程ID:192
操作进程:C:\Windows\SysWOW64\explorer.exe
操作进程命令行:explorer.exe 92
父进程:C:\Users\Dell\AppData\Local\Temp\is-LSRO2.tmp\setup.tmp
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2022-08-12 13:32:55,病毒防护,病毒查杀,自定义扫描, 发现0个风险项目

病毒库时间:2022-08-11 17:54
开始时间:2022-08-12 13:32
总计用时:00:00:31
扫描对象:277
扫描文件:1
发现风险:0
已处理风险:0


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


《公理邊緣》正體中文模組 - CodeBay.IN
这个地址无毒无害,我被坑的是下面的下载链接

第三个是城通网盘,唯独从这里下载的没毒,再次感谢火绒!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
沧海一声
发表于 2022-8-12 20:23:08 | 显示全部楼层
补丁这种还是少用有风险
话说敢直接双击很勇敢不是应该先右键扫描
火绒的能力确实不算差,建议楼主再用扫描器做个全盘扫描
13097113
发表于 2022-8-13 00:55:38 | 显示全部楼层
感谢啥,大惊小怪,中文汉化补丁本来就杀,又不是病毒.
复负复
发表于 2022-8-13 01:59:35 | 显示全部楼层
本帖最后由 复负复 于 2022-8-13 02:00 编辑


我怀疑你在作秀,三个文件都是一样的,或者说专门有人在你节点里下毒害你

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
swizzer + 1

查看全部评分

wwwab
发表于 2022-8-13 08:33:15 | 显示全部楼层
建议提取隔离区文件分析
hiphoper
 楼主| 发表于 2022-8-13 09:22:36 | 显示全部楼层
wwwab 发表于 2022-8-13 08:33
建议提取隔离区文件分析

有道理,这就打包提取样本一会儿发到病毒样本区,先上图:我从那两服务器下载的根本就不是正常的汉化补丁,今早查看详细的历史记录发现很可能是被映像劫持了,跳转到这个网站Send Large Files - Free Secure File Transfer - TransferNow (that-soft.com)下载的是这个文件:

对,这是我刚重新下载的,右键火绒扫描提示正常,再不作死运行了。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 2022-8-13 09:47:03 | 显示全部楼层
wwwab
发表于 2022-8-13 09:48:20 | 显示全部楼层
swizzer 发表于 2022-8-13 09:47
https://www.virustotal.com/gui/file/f58bc73ed6ac7ce4cf1fcdda88dabe29b692fcc31af24981887491aa63d4a8 ...

我才发现vt的sandbox变了,好不习惯
hiphoper
 楼主| 发表于 2022-8-13 09:52:17 | 显示全部楼层
复负复 发表于 2022-8-13 01:59
我怀疑你在作秀,三个文件都是一样的,或者说专门有人在你节点里下毒害你

该怎么说呢,我运气太好了,能跳转到这个网站有病毒,勿要下载运行!
wwwab
发表于 2022-8-13 10:17:33 | 显示全部楼层
笑死,vt把我挡在外面了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:18 , Processed in 0.138120 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表