x6 (2023-02-21)

petr0vic

pal家族

drweb
1x of 6

2023/2/22 0:19 SpIDer Guard 侦测到威胁 对象： 2.js 威胁： Trojan.MulDrop8.6015 操作： 已隔离 路径： E:\virus\2.js





好像蜘蛛杀脚本挺水的
都是毛子的软件 怎么卡巴杀脚本就这么猛。。。。

秋日之殇

kaspersky 5/6,1. chm seems to be corrupted?

GreatMOLA

Bitdefender 扫描
2.js - Trojan.JS.RUU
双击
1.chm - 无法执行
5.vbs - 检测虚拟机
3.vbs,4.vbs - 高级反漏洞利用已阻止进程被漏洞利用以运行恶意代码。进程ieinstal.exe已结束。 威胁名称: Gen:Variant.Tedy.xxxxx
6.wsf - 衍生物 C:\Users\TEST\AppData\Local\Microsoft\Windows\INetCache\IE\X9Q984EM\info2[1].txt - VBS.Heur.Laburrak.14

aboringman

360: 4

1. D:\测试专用\6\2.js ex_virus.js.agent.cb 已删除

复制代码

1.chm



/

2.js

1. 2023-02-22 01:22:02        [已阻止]          发现恶意网络访问        防护 1 次
   
2. 详细描述：
   
3. URL：http://1[[[98.12.123.17:8902/Vre
   
4. IP Port：1[[[98.12.123.17:8902
   
5. 
   
6. 进程：C:\Windows\System32\wscript.exe
   
7. 
   
8. 2023-02-22 01:21:57        [自动阻止]          修改 系统启动目录        防护 14 次
   
9. 详细描述：
   
10. 进程：C:\Windows\System32\wscript.exe
    
11. 动作：试图修改
    
12. 路径：C:\Users\Killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.js
    
13. 不再提醒(0x63f4fdb5)
    
14. 防护信息: FD|26, 823|60, -1, -1|||
    
15. 
    
16. 2023-02-22 01:21:57        [已阻止]          修改 系统启动目录        防护 1 次
    
17. 详细描述：
    
18. 进程：C:\Windows\System32\wscript.exe
    
19. 动作：试图修改
    
20. 路径：C:\Users\Killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.js
    
21. 风险文件：C:\Users\Killer\Desktop\6\2.js
    
22. 防护信息: FD|26, 823|60, 60, -1|||
    
23. 
    
24. 2023-02-22 01:21:51        [已阻止]          进程创建        防护 1 次
    
25. 详细描述：
    
26. 进程：C:\Windows\System32\wscript.exe
    
27. 动作：进程创建
    
28. 路径：C:\Users\Killer\AppData\Local\Temp\2.js
    
29. 风险文件：C:\Users\Killer\Desktop\6\2.js
    
30. 防护信息: AD|1, 243|60, 60, 40||
    
31. 
    
32. 2023-02-22 01:21:45        [已阻止]          修改 开机启动项        防护 1 次
    
33. 详细描述：
    
34. 注册表位置：HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\[Z5Q5NLVP5E]
    
35. 注册表内容："C:\Users\Killer\AppData\Local\Temp\2.js"
    
36. 进程：C:\Windows\System32\wscript.exe
    
37. 父进程：C:\Windows\explorer.exe , (104)
    
38. 风险文件：C:\Users\Killer\Desktop\6\2.js
    
39. 防护信息: FD|1, 2|60, 60, 40|||
    
40. 
    
41. 2023-02-22 01:21:37        [已允许]          进程创建        防护 1 次
    
42. 详细描述：
    
43. 进程：C:\Windows\explorer.exe
    
44. 动作：进程创建
    
45. 路径：C:\Windows\System32\wscript.exe
    
46. 风险文件：C:\Users\Killer\Desktop\6\2.js
    
47. 防护信息: AD|1, 236|10, 10, 60||

复制代码

/

4.vbs











/

最后用手动进入网购模式的方法打扫战场（

1. 2023-02-22 01:29:11        [自动阻止]          进程创建        防护 420 次
   
2. 详细描述：
   
3. 进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
   
4. 动作：进程创建
   
5. 路径：C:\Program Files (x86)\Internet Explorer\ExtExport.exe
   
6. 防护信息: AD|1, 4|60, -1, -1||
   
7. 
   
8. 2023-02-22 01:29:11        [自动阻止]          进程创建        防护 386 次
   
9. 详细描述：
   
10. 进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
11. 动作：进程创建
    
12. 路径：C:\Program Files (x86)\Internet Explorer\ielowutil.exe
    
13. 防护信息: AD|1, 4|60, -1, -1||
    
14. 
    
15. 2023-02-22 01:29:10        [自动阻止]          进程创建        防护 380 次
    
16. 详细描述：
    
17. 进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
18. 动作：进程创建
    
19. 路径：C:\Program Files (x86)\Internet Explorer\ieinstal.exe
    
20. 防护信息: AD|1, 4|60, -1, -1||
    
21. 
    
22. 2023-02-22 01:28:48        [网购危险]          开启        
    
23. 
    
24. 2023-02-22 01:26:40        [已阻止]          远程线程注入        防护 1 次
    
25. 详细描述：
    
26. 进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
27. 动作：远程线程注入
    
28. 路径：C:\Program Files (x86)\Internet Explorer\ielowutil.exe
    
29. 风险文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
30. 全部阻止
    
31. 防护信息: AD|2, 88|60, 60, -1||
    
32. 
    
33. 2023-02-22 01:26:34        [已阻止]          远程线程注入        防护 1 次
    
34. 详细描述：
    
35. 进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
36. 动作：远程线程注入
    
37. 路径：C:\Program Files (x86)\Internet Explorer\ielowutil.exe
    
38. 风险文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
39. 防护信息: AD|2, 88|60, 60, -1||
    
40. 
    
41. 2023-02-22 01:26:29        [已阻止]          远程线程注入        防护 1 次
    
42. 详细描述：
    
43. 进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
44. 动作：远程线程注入
    
45. 路径：C:\Program Files (x86)\Internet Explorer\ielowutil.exe
    
46. 风险文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
47. 防护信息: AD|2, 88|60, 60, -1||
    
48. 
    
49. 2023-02-22 01:25:19        [已允许]          进程创建        防护 1 次
    
50. 详细描述：
    
51. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
52. 动作：进程创建
    
53. 路径：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
54. 风险文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    
55. 防护信息: AD|1, 10001|60, 60, 60||
    
56. 
    
57. 2023-02-22 01:25:04        [已允许]          进程创建        防护 1 次
    
58. 详细描述：
    
59. 进程：C:\Windows\System32\wscript.exe
    
60. 动作：进程创建
    
61. 路径：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
62. 风险文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
63. 防护信息: AD|1, 10001|30, 60, 60||

复制代码

/

被上报部分



PS.有一句话我想说的是，你实在不行真的可以直接结束进程的。。。。。。这个夸张的拦截数会把人给吓死的哦（

另，有风险程序正在运行那一部分我全部选择了放行，才能够看大戏（

117054487

avast剩余1 4 1无法运行 4拦截外链

chjs

SEP就扫除两个，其他的1、5、6无法执行，4可以执行，通过IE加载项安装程序，提示被信誉阻止。Norton之流的得手动结束进程。还增加启动项

莒县小哥

sichuanwenxuan

WD剩3个。

UNknownOoo

火绒
扫描：4x