查看: 2969|回复: 11
收起左侧

[问题求助] 国庆一大早 开机启发式分析

[复制链接]
没得玩
发表于 2023-10-1 09:38:01 | 显示全部楼层 |阅读模式
反病毒杀的是什么文件?哪个驱动安装文件吗?办公电脑一开机就被KFA查杀了,也不知道什么时候被别人下载的

事件: 对象的备份副本已创建
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: CompatTelRunner.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 已创建备份副本
类型: 木马
名称: HEUR:Trojan.BAT.Alien.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: d95ecc.msi
对象路径: C:\Windows\Installer
对象的 MD5: BF3AF62F9882924B8CD675D2515B95FF

有没有被KSN拉黑了?


anxiety520
发表于 2023-10-1 09:56:37 | 显示全部楼层
本帖最后由 anxiety520 于 2023-10-1 09:59 编辑

文件发出来看看
VirusTotal上全绿的
Baby小尧
发表于 2023-10-1 10:14:10 | 显示全部楼层
把隔离的文件加密压缩,加密秘密infected。让大家看看呗。是否是卡巴误报
装甲未被击穿
发表于 2023-10-1 12:35:51 | 显示全部楼层
本帖最后由 装甲未被击穿 于 2023-10-1 12:39 编辑

在微步云上搜索MD5是这个
OPENTIP上竟然很早就发现了
360云沙箱没有找到这个文件
1696134927971.jpg
1696135107972.jpg
Baby小尧
发表于 2023-10-1 12:48:05 | 显示全部楼层
装甲未被击穿 发表于 2023-10-1 12:35
在微步云上搜索MD5是这个
OPENTIP上竟然很早就发现了
360云沙箱没有找到这个文件

https://opentip.kaspersky.com/BF ... /results?tab=lookup卡巴这个报了,现在VT上卡巴也报了还有另一家也报了。那个我不认识,不知道是用的什么引擎https://www.virustotal.com/gui/f ... 0a6933f9de94d81bae9
Miostartos
发表于 2023-10-1 12:57:11 | 显示全部楼层
Baby小尧 发表于 2023-10-1 12:48
https://opentip.kaspersky.com/BF3AF62F9882924B8CD675D2515B95FF/results?tab=lookup卡巴这个报了,现 ...

ZA就是OEM卡巴的引擎
你没发现报毒名一样的吗
Baby小尧
发表于 2023-10-1 13:48:39 | 显示全部楼层
Miostartos 发表于 2023-10-1 12:57
ZA就是OEM卡巴的引擎
你没发现报毒名一样的吗

看到了所以不接触过这家所以不敢乱说
没得玩
 楼主| 发表于 2023-10-1 14:34:38 | 显示全部楼层
anxiety520 发表于 2023-10-1 09:56
文件发出来看看
VirusTotal上全绿的

应该是误报,原因是机器学习
事件: 无法清除
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: CompatTelRunner.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 未处理
类型: 木马
名称: HEUR:Trojan.BAT.Alien.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: importcertificate.cmd
对象路径: C:\Windows\Installer\d95ecc.msi//
对象的 MD5: BF3AF62F9882924B8CD675D2515B95FF
原因: 写入错误
事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: CompatTelRunner.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.BAT.Alien.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: d95ecc.msi
对象路径: C:\Windows\Installer
对象的 MD5: BF3AF62F9882924B8CD675D2515B95FF
原因: 机器学习
数据库发布日期: 昨天,2023/9/30 星期六 上午 11:36:00
没得玩
 楼主| 发表于 2023-10-1 14:38:27 | 显示全部楼层
装甲未被击穿 发表于 2023-10-1 12:35
在微步云上搜索MD5是这个
OPENTIP上竟然很早就发现了
360云沙箱没有找到这个文件

一恢复文件就又删除了。不影响系统就是了。某个安装程序
anxiety520
发表于 2023-10-2 08:18:48 | 显示全部楼层
没得玩 发表于 2023-10-1 14:34
应该是误报,原因是机器学习
事件: 无法清除
用户: NT AUTHORITY\SYSTEM

我看Opentip上有带沙盒后缀的报法,有可能真是木马,
你先禁用保护然后把文件恢复出来,打包上传到蓝奏云
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 10:40 , Processed in 0.153474 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表