本帖最后由 aboringman 于 2023-2-21 04:33 编辑
360:0
执行
- 2023-02-21 02:17:10 [自动阻止] 进程创建 防护 2 次
- 详细描述:
- 进程:C:\Windows\SysWOW64\rundll32.exe
- 动作:进程创建
- 路径:C:\Program Files (x86)\Internet Explorer\iexplore.exe
- 防护信息: AD|1, 4|30, -1, -1||
- 2023-02-21 02:17:09 [自动阻止] 进程创建 防护 1 次
- 详细描述:
- 进程:C:\Windows\SysWOW64\rundll32.exe
- 动作:进程创建
- 路径:C:\Windows\SysWOW64\msra.exe
- 防护信息: AD|1, 4|30, -1, -1||
- 2023-02-21 02:17:09 [已阻止] 远程线程注入 防护 1 次
- 详细描述:
- 进程:C:\Windows\SysWOW64\rundll32.exe
- 动作:远程线程注入
- 路径:C:\Windows\SysWOW64\msra.exe
- 风险文件:C:\Users\Killer\Desktop\230220-seq3psbd69_pw_infected\boris_chm.dll
- 全部阻止
- 防护信息: AD|2, 88|30, 30, -1||
- 2023-02-21 02:16:56 [已阻止] 远程线程注入 防护 1 次
- 详细描述:
- 进程:C:\Windows\SysWOW64\rundll32.exe
- 动作:远程线程注入
- 路径:C:\Windows\SysWOW64\wermgr.exe
- 风险文件:C:\Users\Killer\Desktop\230220-seq3psbd69_pw_infected\boris_chm.dll
- 防护信息: AD|2, 88|30, 30, -1||
- 2023-02-21 02:16:50 [已阻止] 远程线程注入 防护 1 次
- 详细描述:
- 进程:C:\Windows\SysWOW64\rundll32.exe
- 动作:远程线程注入
- 路径:C:\Windows\SysWOW64\wermgr.exe
- 风险文件:C:\Users\Killer\Desktop\230220-seq3psbd69_pw_infected\boris_chm.dll
- 防护信息: AD|2, 88|30, 30, -1||
测诺顿的时候发生了非常严重的测试误差,无法确定是否防御成功,故此不公布诺顿的结果。(由于诺顿严重的干扰了Windows问题报告程序的正常运行)
ESET:执行不久被AMS检测到,提示重启,由于没有持久化所以成功防御。
- 2023/2/21 4:16:28
- 高级内存扫描程序
- 文件
- 系统内存 > rundll32.exe(5480)
- Win32/Qbot.DM 特洛伊木马 的变量
- 已包含被感染的文件 (下次重新启动后)
- FD56833ACFE5B41FC52202EBF6DFA6CFF1BE6349
|
发表于 2023-2-20 23:14:17
