FakeAPP 3X

hsks

https://cowtransfer.com/s/baa9dc4c3a1540


火绒白加黑，还有一个不知道是什么的白加黑（）
https://tria.ge/231008-tglfnsgc63/behavioral3

aboringman

360：1



sogou.exe：

成功创建了启动项（悲），但是安装完成后没有被启动（？）

1. 2023-10-08 23:59:55        [自动阻止]          模拟按键        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Windows\SysWOW64\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\Killer\AppData\Roaming\您的公司\搜狗手心输入法 1.1.5\install\搜狗手心输入法.msi" AI_SETUPEXEPATH=C:\Users\Killer\Desktop\3X\sogou.exe SETUPEXEDIR=C:\Users\Killer\Desktop\3X\ EXE_CMD_LINE="/exenoupdates  /forcecleanup  /wintime 1696780334  " , (1, 24)
   
4. 动作：模拟按键
   
5. 路径：
   
6. 
   
7. 2023-10-08 23:59:53        [自动阻止]          模拟按键        防护 1 次
   
8. 详细描述：
   
9. 进程：C:\Users\Killer\Desktop\3X\sogou.exe "C:\Users\Killer\Desktop\3X\sogou.exe" , (1, 24)
   
10. 动作：模拟按键
    
11. 路径：

复制代码

手动执行衍生物，拦截注入行为

1. 2023-10-09 00:02:09        [已阻止]          远程线程注入        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\PROGRAM FILES (X86)\您的公司\搜狗手心输入法\DEELEVATE.EXE
   
4. 动作：远程线程注入
   
5. 路径：C:\Windows\SysWOW64\SyncHost.exe
   
6. 风险文件：C:\PROGRAM FILES (X86)\您的公司\搜狗手心输入法\DEELEVATOR.DLL
   
7. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
8. 
   
9. 防护信息: AD|2, 88|10, 30, -1||
   
10. 
    
11. 2023-10-09 00:02:04        [已阻止]          远程线程注入        防护 1 次
    
12. 详细描述：
    
13. 进程：C:\PROGRAM FILES (X86)\您的公司\搜狗手心输入法\DEELEVATE.EXE
    
14. 动作：远程线程注入
    
15. 路径：C:\Windows\SysWOW64\SyncHost.exe
    
16. 风险文件：C:\PROGRAM FILES (X86)\您的公司\搜狗手心输入法\DEELEVATOR.DLL
    
17. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
18. 
    
19. 防护信息: AD|2, 88|10, 30, -1||

复制代码

就不重启了（

MeiqiaWinLatest3.1.8.6.exe：

安装直接被打断，无法继续下去（



放行则寄

hhhq316

蛛蛛扫描Miss

EMSi


FS扫描Miss
avast

秋日之殇

卡巴扫描加执行清空

事件: 检测到恶意对象
应用程序: De-elevation tool
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Exploit.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Program Files (x86)\您的公司\搜狗手心输入法
对象名称: DeElevate.exe
原因: 行为分析

事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: msiexec.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: UDS:Trojan-Dropper.Win32.Dapato
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: dac.exe
对象路径: C:\Users\lybing\AppData\Roaming\CS-TG-64\tdata\emoji
对象的 MD5: 607AE2ABD5BF9BBA473913C97AA7DCEE
原因: 云保护


事件: 检测到恶意对象
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 活动用户
组件: 病毒扫描
结果: 检测到
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win32.Generic
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 8
对象路径: C:\Users\lybing\Desktop\3X\MeiqiaWinLatest3.1.8.6.exe//
对象的 MD5: C7370004AB1D530E589E4D94D7CBE043
原因: 专家分析
数据库发布日期: 今天，2023/10/8 20:41:00

心醉咖啡

金山毒霸扫描miss

UNknownOoo

火绒
扫描：特征 1X

双击：1报错，1miss

117054487

实时防护检测到威胁。该文件已被删除。C:\Users\fengye\Desktop\3X\CS-TG-64-19-1.msi 是恶意软件 Trojan.Agent.GGKP
高级威胁防护阻止了一个恶意进程。进程路径: C:\Windows\SysWOW64\SyncHost.exe. 威胁名称: ATC.SuspiciousBehavior.87926E3B2B3EC43C.
MeiqiaWinLatest3.1.8.6.exe---miss 老朋友火绒白加黑

补充 假搜狗重启后miss

https://wwoa.lanzoub.com/i8MI11b6qv0b hr白加黑

hansyu

McAfee 双击 1x

初心．杰

趋势 扫描miss 双击拦截2
诺顿 扫描miss 双击拦截1
熊猫 扫描检出1但是不杀 双击拦截1

骨灰级小白

解压后AVAST 1X，扫描2X，清空