26X

hsks

https://cowtransfer.com/s/83896b9a866c4b


来自微步和Triage

hhhq316

EMSI 7 双击拦截15个，一共22个
蜘蛛 0




双击测试
蜘蛛4
1


3



20


24

UNknownOoo

火绒
扫描：9x

xcvbaby

金山毒霸团队版
7x

不知起什么名

卡巴：
事件: 扫描已完成。现在没有活动威胁
用户类型: 发起者
组件: 病毒扫描
已扫描对象: 93
已检测对象: 14
对象已处理: 14
对象未清除: 0
对象已清除: 0
对象已删除: 14
移动到隔离区的对象数量: 0
智量：
kill 1x：18.exe
Heur.ML.PE.A（我发现怎么好像智量特别爱报这类家族名呢）
一小时后更新：

1. 事件: 检测到恶意对象
   
2. 用户: NT AUTHORITY\SYSTEM
   
3. 用户类型: 系统用户
   
4. 组件: 病毒扫描
   
5. 结果: 检测到
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: UDS:Trojan.Win32.Agent
   
9. 精确度: 确切
   
10. 威胁级别: 高
    
11. 对象类型: 文件
    
12. 对象名称: 8.exe
    
13. 对象路径: D:\Download\pack
    
14. 对象的 MD5: 882CEFBF5BFBC3B9361D08B21FC46BB9
    
15. 原因: 哈希
    
16. 数据库发布日期: 今天，2023/8/14 10:52:00
    
17. 
    
18. 事件: 检测到恶意对象
    
19. 用户: NT AUTHORITY\SYSTEM
    
20. 用户类型: 系统用户
    
21. 组件: 病毒扫描
    
22. 结果: 检测到
    
23. 结果说明: 检测到
    
24. 类型: 木马
    
25. 名称: UDS:Backdoor.Win32.Lotok
    
26. 精确度: 确切
    
27. 威胁级别: 高
    
28. 对象类型: 文件
    
29. 对象名称: 24.exe
    
30. 对象路径: D:\Download\pack
    
31. 对象的 MD5: 21F91AD68AF2EE01B6375DCD9DD1DAF6
    
32. 原因: 哈希
    
33. 数据库发布日期: 今天，2023/8/14 10:52:00
    
34. 
    
35. 事件: 检测到恶意对象
    
36. 用户: NT AUTHORITY\SYSTEM
    
37. 用户类型: 系统用户
    
38. 组件: 病毒扫描
    
39. 结果: 检测到
    
40. 结果说明: 检测到
    
41. 类型: 木马
    
42. 名称: UDS:Trojan.Win64.Alien
    
43. 精确度: 确切
    
44. 威胁级别: 高
    
45. 对象类型: 文件
    
46. 对象名称: 20.exe
    
47. 对象路径: D:\Download\pack
    
48. 对象的 MD5: 7E12FE607A78A2BE4452DD1610176576
    
49. 原因: 云保护

复制代码

dght432

360扫描12个

henry217

伞18X

anxiety520

KIS
9 , 20.exe 衍生物FTP检测

1. 事件: 检测到恶意对象
   
2. 用户: DESKTOP\86137
   
3. 用户类型: 发起者
   
4. 应用程序名称: XZDesktop64.exe
   
5. 应用程序路径: C:\Users\86137\AppData\Local\tem
   
6. 组件: 文件反病毒
   
7. 结果说明: 检测到
   
8. 类型: 木马
   
9. 名称: HEUR:Trojan.Multi.Donut.b
   
10. 精确度: 启发式分析
    
11. 威胁级别: 高
    
12. 对象类型: 文件
    
13. 对象名称: quic.dt
    
14. 对象路径: C:\Users\86137\AppData\Local\tem
    
15. 对象的 MD5: B8FF97E30C3B60D3F0AAC17EAFED775B
    
16. 原因: 专家分析
    
17. 数据库发布日期: 昨天，2023/8/13 22:37:00

复制代码

1. 件: 对象已删除
   
2. 用户: DESKTOP\86137
   
3. 用户类型: 发起者
   
4. 应用程序名称: explorer.exe
   
5. 应用程序路径: C:\Windows
   
6. 组件: 文件反病毒
   
7. 结果说明: 已删除
   
8. 类型: 木马
   
9. 名称: HEUR:Trojan.Win32.Cometer.gen
   
10. 精确度: 不确切
    
11. 威胁级别: 高
    
12. 对象类型: 文件
    
13. 对象名称: djxma.exe
    
14. 对象路径: C:\Users\86137\Downloads\pack\pack
    
15. 对象的 MD5: EA77517D27D0D6DAA9257F30447AB5F0

复制代码

1. 事件: 检测到恶意对象
   
2. 用户: DESKTOP\86137
   
3. 用户类型: 发起者
   
4. 应用程序名称: explorer.exe
   
5. 应用程序路径: C:\Windows
   
6. 组件: 文件反病毒
   
7. 结果说明: 检测到
   
8. 名称: UDS:DangerousObject.Multi.Generic
   
9. 精确度: 确切
   
10. 威胁级别: 高
    
11. 对象类型: 文件
    
12. 对象名称: djxma.exe
    
13. 对象路径: C:\Users\86137\Downloads\pack\pack
    
14. 对象的 MD5: A4111043762AD36CDA22168EA103677F
    
15. 原因: 云保护

复制代码

14.msi 衍生物PDM检测

1. 事件: 检测到恶意对象
   
2. 应用程序: 123 Windows Standalone Interpreter
   
3. 用户: DESKTOP\86137
   
4. 用户类型: 发起者
   
5. 组件: 系统监控
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: PDM:Trojan/Exploit.Win32.Generic(.nblk)
   
9. 威胁级别: 高
   
10. 对象类型: 进程
    
11. 对象路径: C:\Program Files (x86)\终端设备敏感信息排查工具
    
12. 对象名称: 终端设备敏感信息排查工具.exe
    
13. 原因: 行为分析
    
14. 数据库发布日期: 昨天，2023/8/13 22:37:00
    
15. MD5: E18F1707F7809192BCF532ED9AD78ED3

复制代码

5.exe 双击后内存扫 MEM:Trojan.Win32.Agent.gen
  
8 , 17 , 18 , 19 , 24.exe 双击missed 但除24一直稳定运行外其他均不久后自退。


Quarantine：

swizzer

BEST 21/26

剩余12 17 18 19 25

1. C:\Users\苏敬轩\Desktop\pack\10.exe 是恶意软件 Dropped:Trojan.GenericKD.68666490
   
2. C:\Users\苏敬轩\Desktop\pack\11.exe 是恶意软件 DeepScan:Generic.ShellCode.Marte.1.23317C81
   
3. C:\Users\苏敬轩\Desktop\pack\15.com 是恶意软件 Dropped:Trojan.GenericKD.68666490
   
4. C:\Users\苏敬轩\Desktop\pack\16.exe 是恶意软件 Gen:Variant.Midie.127644
   
5. C:\Users\苏敬轩\Desktop\pack\20.exe 是恶意软件 Gen:Suspicious.Cloud.2.J!Z@aOGvB3b
   
6. C:\Users\苏敬轩\Desktop\pack\2.exe 是恶意软件 Gen:Suspicious.Cloud.2.@BW@aeibpJc
   
7. C:\Users\苏敬轩\Desktop\pack\21.exe 是恶意软件 Gen:Suspicious.Cloud.4.fy2@ae5TKPpi
   
8. C:\Users\苏敬轩\Desktop\pack\22.exe 是恶意软件 Trojan.GenericFCA.Agent.100974
   
9. C:\Users\苏敬轩\Desktop\pack\23.exe 是恶意软件 Gen:Variant.Fragtor.316654
   
10. C:\Users\苏敬轩\Desktop\pack\3.exe 是恶意软件 Gen:Suspicious.Cloud.2.eyW@ayInNAlj
    
11. C:\Users\苏敬轩\Desktop\pack\1.exe 是恶意软件 Gen:Suspicious.Cloud.2.@3W@aCYKNMb
    
12. C:\Users\苏敬轩\Desktop\pack\4.exe 是恶意软件 Gen:Suspicious.Cloud.2.em0@aGPSB5p
    
13. C:\Users\苏敬轩\Desktop\pack\6.exe 是恶意软件 Dropped:Trojan.GenericKD.68666490
    
14. C:\Users\苏敬轩\Desktop\pack\7.exe 是恶意软件 Gen:Suspicious.Cloud.2.o2Z@aiXWh0o
    
15. 高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\苏敬轩\Desktop\pack\5.exe. 威胁名称: ATC.SuspiciousBehavior.5735C3223B0D0BE5.
    
16. 高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\苏敬轩\Documents\dllhost.exe. 威胁名称: Generic.ShellCode.Marte.4.8B9C39A6.
    
17. 高级威胁防护阻止了一个恶意进程。进程路径: C:\Users\苏敬轩\Documents\dllhost.exe. 威胁名称: ATC.SuspiciousBehavior.5735C3223FBC1CB4.
    
18. 实时防护检测到威胁。该文件已被删除。C:\Users\苏敬轩\AppData\Local\te\quic.dt 是恶意软件 Generic.ShellCode.Donut.Marte.4.9E39A479
    
19. 实时防护检测到威胁。该文件已被删除。C:\Program Files (x86)\Microsoft Silverlighte\SmadHook32.dll 是恶意软件 Gen:Trojan.Heur.TP.ZK4@b08gtfp
    
20. 高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\苏敬轩\Desktop\pack\26.exe. 威胁名称: Generic.ShellCode.Marte.2.422BD7CF.
    
21. 高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\苏敬轩\Desktop\pack\8.exe. 威胁名称: Trojan.CobaltStrike.GM.
    
22. 高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Program Files (x86)\终端设备敏感信息排查工具\终端设备敏感信息排查工具.exe. 威胁名称: Generic.ShellCode.Marte.1.3F6CAF93.

复制代码

biue