国庆一大早 开机启发式分析

没得玩

反病毒杀的是什么文件？哪个驱动安装文件吗？办公电脑一开机就被KFA查杀了，也不知道什么时候被别人下载的

事件: 对象的备份副本已创建
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: CompatTelRunner.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 已创建备份副本
类型: 木马
名称: HEUR:Trojan.BAT.Alien.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: d95ecc.msi
对象路径: C:\Windows\Installer
对象的 MD5: BF3AF62F9882924B8CD675D2515B95FF

有没有被KSN拉黑了？

anxiety520

文件发出来看看
VirusTotal上全绿的

Baby小尧

把隔离的文件加密压缩，加密秘密infected。让大家看看呗。是否是卡巴误报

装甲未被击穿

在微步云上搜索MD5是这个
OPENTIP上竟然很早就发现了
360云沙箱没有找到这个文件

Baby小尧

装甲未被击穿 发表于 2023-10-1 12:35
在微步云上搜索MD5是这个
OPENTIP上竟然很早就发现了
360云沙箱没有找到这个文件

https://opentip.kaspersky.com/BF ... /results?tab=lookup卡巴这个报了，现在VT上卡巴也报了还有另一家也报了。那个我不认识，不知道是用的什么引擎https://www.virustotal.com/gui/f ... 0a6933f9de94d81bae9

Miostartos

Baby小尧 发表于 2023-10-1 12:48
https://opentip.kaspersky.com/BF3AF62F9882924B8CD675D2515B95FF/results?tab=lookup卡巴这个报了，现 ...

ZA就是OEM卡巴的引擎
你没发现报毒名一样的吗

Baby小尧

Miostartos 发表于 2023-10-1 12:57
ZA就是OEM卡巴的引擎
你没发现报毒名一样的吗

看到了所以不接触过这家所以不敢乱说

没得玩

anxiety520 发表于 2023-10-1 09:56
文件发出来看看
VirusTotal上全绿的

应该是误报，原因是机器学习
事件: 无法清除
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: CompatTelRunner.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 未处理
类型: 木马
名称: HEUR:Trojan.BAT.Alien.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: importcertificate.cmd
对象路径: C:\Windows\Installer\d95ecc.msi//
对象的 MD5: BF3AF62F9882924B8CD675D2515B95FF
原因: 写入错误
事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: CompatTelRunner.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.BAT.Alien.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: d95ecc.msi
对象路径: C:\Windows\Installer
对象的 MD5: BF3AF62F9882924B8CD675D2515B95FF
原因: 机器学习
数据库发布日期: 昨天，2023/9/30 星期六 上午 11:36:00

没得玩

装甲未被击穿 发表于 2023-10-1 12:35
在微步云上搜索MD5是这个
OPENTIP上竟然很早就发现了
360云沙箱没有找到这个文件

一恢复文件就又删除了。不影响系统就是了。某个安装程序

anxiety520

没得玩 发表于 2023-10-1 14:34
应该是误报，原因是机器学习
事件: 无法清除
用户: NT AUTHORITY\SYSTEM

我看Opentip上有带沙盒后缀的报法,有可能真是木马,
你先禁用保护然后把文件恢复出来,打包上传到蓝奏云