x3 (2023-03-29)

petr0vic

对对对对

火绒扫描 ：0
卡巴 2.js-------HEUR.Trojan.Script.Generic 1.js-------PDM:Trojan.Win32.Generic，然后火绒行为击杀3.bat
（似乎没杀干净

dght432

管家bat双击没反应

胡淇允

BD  scan MISS all

GreatMOLA

Norton
Scan 1x
2.js - ISB.Downloader!gen40
Execute
3.bat - IPS Alert(physical machine) : Redline Stealer Activity 2;NPE Scan kill



1.js - SONAR kill&rollback    detect:SONAR.UserProc!g1

1. 文件名: 1.js
   
2. 威胁名称: SONAR.UserProc!g1完整路径: 不可用
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上
   
10. 不可用
    
11. 
    
12. 上次使用时间
    
13. (  )
    
14. 
    
15. 启动项
    
16. 否
    
17. 
    
18. 已启动
    
19. 是
    
20. 
    
21. SONAR 主动防护监视电脑上的可疑程序活动。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. 1.js 威胁名称: SONAR.UserProc!g1
    
27. 定位
    
28. 
    
29. 
    
30. 未知
    
31. Norton 社区中使用了此文件的用户数未知 。
    
32. 
    
33. 未知
    
34. 此文件版本当前 未知。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. 来源: 外部介质
    
44. 
    
45. 
    
46. ____________________________
    
47. 
    
48. 文件操作
    
49. 
    
50. 文件: c:\Users\test-pc02\AppData\Roaming\ 1.js 威胁已删除
    
51. 文件: c:\Users\test-pc02\AppData\Roaming\ xqgwkajhrq.js 威胁已删除
    
52. 文件: c:\Users\test-pc02\Desktop\ 1.js 威胁已删除
    
53. 文件: c:\Users\test-pc02\AppData\Roaming\ xqgwkajhrq.js 不需要操作
    
54. 文件: c:\Users\test-pc02\AppData\Roaming\ 1.js 不需要操作
    
55. 文件: c:\Users\test-pc02\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\ 1.js 威胁已删除
    
56. ____________________________
    
57. 
    
58. 注册表操作
    
59. 
    
60. 注册表更改: HKEY_USERS\S-1-5-21-3181437939-2001384129-686555191-1000\SOFTWARE\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints->{2B54535C-2DE3-486B-A7B3-0A2811D64E44}, 注册表配置单元: 64 位 威胁已删除
    
61. 注册表更改: HKEY_USERS\S-1-5-21-3181437939-2001384129-686555191-1000\SOFTWARE\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ ccIPC, 注册表配置单元: 64 位 威胁已删除
    
62. 注册表更改: HKEY_USERS\S-1-5-21-3181437939-2001384129-686555191-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run->1, 注册表配置单元: 64 位 威胁已删除
    
63. ____________________________
    
64. 
    
65. 系统设置操作
    
66. 
    
67. 事件: 进程启动 (执行者 c:\users\test-pc02\appdata\roaming\1.js, PID:3864) 未采取操作
    
68. 事件: 进程启动: c:\Windows\System32\ wscript.exe, PID:3864 (执行者 c:\users\test-pc02\appdata\roaming\1.js, PID:3864) 未采取操作
    
69. 事件: 进程启动 (执行者 c:\users\test-pc02\desktop\1.js, PID:11172) 未采取操作
    
70. 事件: 进程启动: c:\Windows\System32\ wscript.exe, PID:10460 (执行者 c:\users\test-pc02\desktop\1.js, PID:11172) 未采取操作
    
71. 事件: 进程启动: c:\Windows\System32\ wscript.exe, PID:3864 (执行者 c:\users\test-pc02\desktop\1.js, PID:11172) 未采取操作
    
72. 事件: 进程启动: c:\Windows\System32\ wscript.exe, PID:11172 (执行者 c:\users\test-pc02\desktop\1.js, PID:11172) 未采取操作
    
73. ____________________________
    
74. 
    
75. 
    
76. 文件指纹 - SHA:
    
77. 不可用
    
78. 文件指纹 - MD5:
    
79. 不可用
    

复制代码

761773275

BEST kill all

1. 实时防护检测到威胁。该文件已被删除。C:\Users\Leung\Desktop\3\2.js 是恶意软件 Gen:Suspicious.Cloud.12.00C6F7C2C80000

复制代码

1. 实时防护检测到恶意命令行的执行。进程 C:\Windows\System32\wscript.exe 被阻止, 由于执行了恶意命令行"C:\Windows\System32\WScript.exe" "C:\Users\Leung\Desktop\3\2.js"

复制代码

1. 实时防护在C:\Users\Leung\Desktop\3\1.js上检测到恶意行为AMSI:Trojan.Ghiko.24

复制代码

莒县小哥

往生全凭佛接引

智量火力全开杀掉1和3

mozhiwei

金山毒霸kill 2x