18X （11.21）

UNknownOoo

https://wwjw.lanzouq.com/iZWFD1fhsomd

“svch0st.exe”似乎只有一个注入行为（？）

dght432

PYAS_Security

PYAS V2.9.2 本地引擎 Kill 8

嘿嘿不能说

1. C:\Users\Killer\Desktop\18X\1072.exe [L] Win32:TrojanX-gen [Trj] (0)
   
2. C:\Users\Killer\Desktop\18X\10月份税务漏税企业名单.exe [L] Win64:RATX-gen [Trj] (0)
   
3. C:\Users\Killer\Desktop\18X\20231120DT12.exe [L] Win32:InjectorX-gen [Trj] (0)
   
4. C:\Users\Killer\Desktop\18X\20231121.exe [L] Win64:CrypterX-gen [Trj] (0)
   
5. C:\Users\Killer\Desktop\18X\downloader1.1.exe [L] Win32:CrypterX-gen [Trj] (0)
   
6. C:\Users\Killer\Desktop\18X\Invoice Ningbo.exe [L] Win32:PWSX-gen [Trj] (0)
   
7. C:\Users\Killer\Desktop\18X\svch0st.exe [L] Win32:Dh-A [Heur] (0)
   
8. C:\Users\Killer\Desktop\18X\welding-rod-spec..exe [L] Win32:PWSX-gen [Trj] (0)

复制代码

2023.09.25  ESET（断网仅扫描，ML全高）  5个

1. C:\Users\abori\Desktop\18X\20231120DT12.exe - ML/Augur 特洛伊木马 - 已通过删除清除 [1]
   
2. C:\Users\abori\Desktop\18X\Invoice Ningbo.exe - ML/Augur 特洛伊木马 - 已通过删除清除 [1]
   
3. C:\Users\abori\Desktop\18X\downloader1.0.exe - Win32/GenCBL.BAK 特洛伊木马 的变量 - 已通过删除清除 [1]
   
4. C:\Users\abori\Desktop\18X\svch0st.exe > UPX v12_m2 > EMB > [#0]MemW - ML/Augur 特洛伊木马 - 已删除
   
5. C:\Users\abori\Desktop\18X\svch0st.exe > EMB > [#0]MemW - ML/Augur 特洛伊木马 - 已删除
   
6. C:\Users\abori\Desktop\18X\welding-rod-spec..exe - ML/Augur 特洛伊木马 - 已通过删除清除 [1]

复制代码

2023.11.20  12个

1. C:\Users\abori\Desktop\18X\1072.exe - Win32/GenKryptik.GQFA 特洛伊木马 的变量 - 已通过删除清除 [1]
   
2. C:\Users\abori\Desktop\18X\10月份税务漏税企业名单.exe - Win64/TrojanDropper.Agent.IO 特洛伊木马 的变量 - 已通过删除清除 [1]
   
3. C:\Users\abori\Desktop\18X\20231120DT12.exe - Win32/Injector_AGen.AEJ 特洛伊木马 的变量 - 已通过删除清除 [1]
   
4. C:\Users\abori\Desktop\18X\20231121.exe - MSIL/Kryptik.AKDI 特洛伊木马 的变量 - 已通过删除清除 [1]
   
5. C:\Users\abori\Desktop\18X\Invoice Ningbo.exe - ML/Augur 特洛伊木马 - 已通过删除清除 [1]
   
6. C:\Users\abori\Desktop\18X\QQ音乐补丁包.exe - Win32/Agent.AGAC 特洛伊木马 - 已通过删除清除 [1]
   
7. C:\Users\abori\Desktop\18X\downloader1.0.exe - Win32/GenCBL.BAK 特洛伊木马 的变量 - 已通过删除清除 [1]
   
8. C:\Users\abori\Desktop\18X\downloader1.1.exe - Win32/GenKryptik.GQFT 特洛伊木马 的变量 - 已通过删除清除 [1]
   
9. C:\Users\abori\Desktop\18X\downloader1.2.exe - Win32/GenKryptik.GQFT 特洛伊木马 的变量 - 已通过删除清除 [1]
   
10. C:\Users\abori\Desktop\18X\svch0st.exe > UPX v12_m2 > EMB > [#0]MemW - ML/Augur 特洛伊木马 - 已删除
    
11. C:\Users\abori\Desktop\18X\svch0st.exe > EMB > [#0]MemW - ML/Augur 特洛伊木马 - 已删除
    
12. C:\Users\abori\Desktop\18X\welding-rod-spec..exe - ML/Augur 特洛伊木马 - 已通过删除清除 [1]
    
13. C:\Users\abori\Desktop\18X\（7)3329.exe - Win64/GenKryptik.GQFS 特洛伊木马 的变量 - 已通过删除清除 [1]

复制代码

Norton：14个

1. 2023/11/21 17:08:01,高,检测到 1072.exe (Trojan.Gen.MBT) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 10
   
2. 2023/11/21 17:08:00,高,检测到 （7)3329.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
3. 2023/11/21 17:08:00,高,检测到 Project8.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
4. 2023/11/21 17:08:00,高,检测到 svch0st.exe (Heur.AdvML.C) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
5. 2023/11/21 17:07:59,高,检测到 Project8.1.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
6. 2023/11/21 17:07:59,高,检测到 CobaltStrike.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
7. 2023/11/21 17:07:59,高,检测到 downloader1.2.exe (Heur.AdvML.A) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
8. 2023/11/21 17:07:59,低,检测到 Invoice Ningbo.exe (Scr.Malcode!gdn34) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 2
   
9. 2023/11/21 17:07:58,高,检测到 20231121.exe (Heur.AdvML.C) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
10. 2023/11/21 17:07:58,高,检测到 20231120DT12.exe (Heur.AdvML.C) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
    
11. 2023/11/21 17:07:58,高,检测到 10月份税务漏税企业名单.exe (Heur.AdvML.B) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
    
12. 2023/11/21 17:07:57,高,检测到 1072.exe (Heur.AdvML.C) (检测方: 病毒扫描程序),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1

复制代码

电子[过滤].chm：阻止衍生物白程序启动（  可能是因为文件名的缘故（  ）

1. 文件名: svchost.exe
   
2. 威胁名称: SONAR.SuspLaunch!g278完整路径: c:\users\killer\music\pcq8fhgukopybrd6tzhruymroycfle50s8bcxxa\svchost.exe
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上 
   
10. 2023/11/21 ( 17:10:37 )
    
11. 
    
12. 上次使用时间 
    
13. 2023/11/21 ( 17:11:13 )
    
14. 
    
15. 启动项 
    
16. 否
    
17. 已启动 
    
18. 是
    
19. 行为主动防护监视电脑上的可疑程序活动。
    
20. 
    
21. ____________________________
    
22. 
    
23. 
    
24. svchost.exe威胁名称: SONAR.SuspLaunch!g278
    
25. 定位
    
26. 
    
27. 
    
28. 多数用户信任的文件
    
29. Norton 社区中有数千名用户使用了此文件。
    
30. 
    
31. 发布已久的文件
    
32. 该文件已在3 年 8 个月 。
    
33. 
    
34. 高
    
35. 此文件具有高风险。
    
36. 
    
37. 
    
38. ____________________________
    
39. 
    
40. 
    
41. 来源: 外部介质
    
42. 
    
43. 
    
44. ____________________________
    
45. 
    
46. 
    
47. 文件指纹 - SHA:
    
48. 不可用
    
49. 文件指纹 - MD5:
    
50. 不可用

复制代码

QQ音乐补丁包.exe：被行为防护击杀

1. 文件名: qq音乐补丁包.exe
   
2. 威胁名称: Backdoor.Cobalt!gen9完整路径: 不可用
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上 
   
10. 2023/11/21 ( 17:06:31 )
    
11. 
    
12. 上次使用时间 
    
13. 2023/11/21 ( 17:06:31 )
    
14. 
    
15. 启动项 
    
16. 否
    
17. 已启动 
    
18. 是
    
19. 行为主动防护监视电脑上的可疑程序活动。
    
20. 
    
21. ____________________________
    
22. 
    
23. 
    
24. qq音乐补丁包.exe威胁名称: Backdoor.Cobalt!gen9
    
25. 定位
    
26. 
    
27. 
    
28. 极少用户信任的文件
    
29. Norton 社区中有不到 5 名用户使用了此文件。
    
30. 
    
31. 极新的文件
    
32. 该文件已在不到 1 周前发行。
    
33. 
    
34. 高
    
35. 此文件具有高风险。
    
36. 
    
37. 
    
38. ____________________________
    
39. 
    
40. 
    
41. 来源: 外部介质
    
42. 
    
43. 源文件:
    
44. QQ音乐补丁包.exe
    
45. 
    
46. ____________________________
    
47. 
    
48. 文件操作
    
49. 
    
50. 文件: c:\Users\Killer\Desktop\18X\QQ音乐补丁包.exe威胁已删除
    
51. 
    
52. ____________________________
    
53. 
    
54. 系统设置操作
    
55. 
    
56. 事件: 进程启动 (执行者 c:\users\killer\desktop\18x\qq音乐补丁包.exe, PID:3804)未采取操作
    
57. 
    
58. (执行者 c:\users\killer\desktop\18x\qq音乐补丁包.exe, PID:3804)未采取操作
    
59. 
    
60. 事件: 进程启动: c:\users\killer\desktop\18x\qq音乐补丁包.exe, PID:3804 (执行者 c:\users\killer\desktop\18x\qq音乐补丁包.exe, PID:3804)未采取操作
    
61. 
    
62. ____________________________
    
63. 
    
64. 
    
65. 文件指纹 - SHA:
    
66. 不可用
    
67. 文件指纹 - MD5:
    
68. 不可用

复制代码

test.exe：





11月份最新政策.exe：运行后闪退

117054487

BEST 15x
C:\Users\123456\Desktop\18X\1072.exe 是恶意软件 Trojan.GenericKD.70435427
C:\Users\123456\Desktop\18X\10月份税务漏税企业名单.exe 是恶意软件 Gen:Variant.Tedy.486143
C:\Users\123456\Desktop\18X\20231120DT12.exe 是恶意软件 Trojan.GenericKD.70490542
C:\Users\123456\Desktop\18X\20231121.exe 是恶意软件 Gen:Suspicious.Cloud.2.Si0@ae4P4w
C:\Users\123456\Desktop\18X\QQ音乐补丁包.exe 是恶意软件 Trojan.GenericKD.70210046
C:\Users\123456\Desktop\18X\svch0st.exe 是恶意软件 Gen:Trojan.ExplorerHijack.emGfa0lB8gl
C:\Users\123456\Desktop\18X\电子[过滤].chm=>stager.html=>(INFECTED_JS) 是恶意软件 GT:JS.NETLoader.4.FB07069B
C:\Users\123456\Desktop\18X\（7)3329.exe 是恶意软件 Gen:Suspicious.Cloud.2.fD0@a4yyHPki
HyperDetect 机器学习检测到威胁. 文件已删除。C:\Users\123456\Desktop\18X\CobaltStrike.exe 是恶意软件 Gen:Illusion.ML.Miata.C.2.17.3010101
实时防护检测到威胁。该文件已被删除。C:\Users\123456\Desktop\18X\Invoice Ningbo.exe 是恶意软件 Gen:Suspicious.Cloud.2.Mm0@aukfpKm
实时防护检测到威胁。该文件已被删除。C:\Users\123456\Desktop\18X\welding-rod-spec..exe 是恶意软件 Gen:Suspicious.Cloud.2.Jm0@aee@Jkd
downloader1.0/1.1/1.2---
流量扫描已检测到威胁。已拒绝访问网页。lc.zhi91.cn/157 包含类型为 云病毒 的恶意软件
沙盒分析器检测到未知威胁. 文件已被删除。

高级威胁防护已阻止注入恶意代码的进程。进程路径: C:\Users\123456\Desktop\18X\Project8.1.exe. 威胁名称: Generic.ShellCode.Marte.2.D75113DE.
沙盒分析器检测到未知威胁. 文件已被删除。C:\Users\123456\Desktop\18X\Project8.1.exe

miss3x
11月份最新政策.exe
Project8.exe
test.exe

hhhq316

蜘蛛 3
实时2

双击1


EMSI 11/18

实时5

扫描1

双击 5

GDHJDSYDH

EIS扫描11x，沙箱内双击后KART阻止4x，EIS阻止1x，其余miss

sichuanwenxuan

WD杀4.

天权

解压码是多少？

UNknownOoo

天权 发表于 2023-11-21 16:28
解压码是多少？

infected