本帖最后由 bbszy 于 2024-5-6 11:39 编辑
用了一个windows优化工具,第一次运行的时候按访问保护报毒给删了,然后在按访问保护里排除后,第二次运行,被自适应防护报毒、清理(后来在虚拟机里测试,如果第一次运行的时候禁用按访问保护、不禁用自适应防护,在访问保护没有报毒的情况下自适应防护是不会报毒的,哪怕右键扫描报毒,蛮奇葩的)。
自适应防护清理后,刚开始还没觉得有异常,后来重启电脑后发现,运行批处理文件系统提示找不到文件,vbs脚本可运行但不产生任何作用(好像没运行一样),同时发现keepaasxsc与浏览器无法通信(排查后确认是脚本文件无法正常运行导致的)。
排查了半天最后锁定了可能是咖啡ens的锅。去翻了咖啡的日志、并且在虚拟机里进行了复现测试。由于这个优化小工具要操作cmd、powershell,咖啡的自适应防护在终止进程、回滚相关操作的时候,直接把注册表shell下面cmd等文件关联给删掉了,导致相关文件关联受损(咖啡的log文件里明确记录相关注册表键值被删除,ui界面里的日志不显示相关注册表清理操作,仅显示“清理”这个结果)。
2024-05-05 03:37:40.169+0800|Activity|Orchestrator |mfeatp | 2536| 5908|Action |post_scan_actions.cpp(2466) | Real Protect 云发现检测项,检测项名称: ARC AI1-PENG4!7520C359A001,其在源进程 ID: 20456 中 , 源路径: C:\Windows , 源名称: explorer.exe , 目标路径F:\ , 目标名称: Win 10 Tweaker.exe , 目标哈希: 7520c359a001097a907d1961c162c225 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP- , 目标用户: , 已采取操作: 清理 , 内容版本: 1.1 , 引擎版本: 1.1
2024-05-05 03:37:46.555+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |DeepRemediation.cpp(604) | 增强补救: 已删除注册表值 HKLM\SYSTEM\CONTROLSET001\SERVICES\BAM\STATE\USERSETTINGS\S-1-5-21-3505606424-13733722-958333188-1001\\DEVICE\HARDDISKVOLUME3\SOFTWARE\|WIN 10 TWEAKER.EXE。
2024-05-05 03:37:46.557+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |DeepRemediation.cpp(632) | 增强补救: 已恢复注册表项 HKU\S-1-5-21-3505606424-13733722-958333188-1001\SOFTWARE\Win 10 Tweaker。
2024-05-05 03:37:46.561+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |DeepRemediation.cpp(604) | 增强补救: 已删除注册表值 HKLM\SOFTWARE\Classes\w10t\shell\open\command|。
2024-05-05 03:37:46.564+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |DeepRemediation.cpp(630) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\CLASSES\W10T\SHELL\OPEN\COMMAND。
2024-05-05 03:37:46.570+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |DeepRemediation.cpp(630) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\CLASSES\W10T\SHELL\OPEN。
2024-05-05 03:37:46.577+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |DeepRemediation.cpp(606) | 增强补救: 已恢复注册表值 HKLM\SOFTWARE\Classes\w10t|URL protocol。
2024-05-05 03:37:46.676+0800|Activity|Remediationbl |mfeatp | 2536| 2644|RepairModule |FileRemediation.cpp(40) | 增强补救: 文件 F:\Software\Win 10 Tweaker.exe 已删除。
2024-05-05 03:37:46.757+0800|Activity|Orchestrator |mfeatp | 2536| 2644|Action |post_scan_actions.cpp(2466) | Real Protect 云发现检测项,检测项名称: ,其在源进程 ID: 5060 中 , 源路径: C:\Windows\System32 , 源名称: svchost.exe , 目标路径F:\Software\, 目标名称: Win 10 Tweaker.exe , 目标哈希: 7520c359a001097a907d1961c162c225 , 信誉: 1 [已知恶意文件] , 源用户: , 目标用户: DESKTOP-, 已采取操作: 清理 , 内容版本: 1.1 , 引擎版本: 1.1
2024-05-05 03:37:49.701+0800|Activity|Remediationbl |mfeatp | 2536| 19208|RepairModule |ARRemediation.cpp(231) | 增强补救: 已恢复注册表值 ComSpec。
2024-05-05 03:37:49.712+0800|Activity|Remediationbl |mfeatp | 2536| 19208|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\cmd\command。
2024-05-05 03:37:49.720+0800|Activity|Remediationbl |mfeatp | 2536| 19208|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\batfile\shell\runas\command。
2024-05-05 03:37:49.722+0800|Activity|Remediationbl |mfeatp | 2536| 19208|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\cmd\command。
2024-05-05 03:37:49.740+0800|Activity|Remediationbl |mfeatp | 2536| 19208|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\cmdfile\shell\runas\command。
2024-05-05 03:37:50.069+0800|Activity|Orchestrator |mfeatp | 2536| 19208|Action |post_scan_actions.cpp(2649) | On-Execute Scan 发现检测项,检测项名称: ATP/Suspect!e9be2f86e3a3,在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: cb6cd09f6a25744a8fa6e4b3e4d260c5 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP , 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本: , 引擎版本:
2024-05-05 03:37:52.929+0800|Activity|Remediationbl |mfeatp | 2536| 16360|RepairModule |ARRemediation.cpp(231) | 增强补救: 已恢复注册表值 ComSpec。
2024-05-05 03:37:52.948+0800|Activity|Remediationbl |mfeatp | 2536| 16360|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\cmd\command。
2024-05-05 03:37:52.954+0800|Activity|Remediationbl |mfeatp | 2536| 16360|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\batfile\shell\runas\command。
2024-05-05 03:37:52.956+0800|Activity|Remediationbl |mfeatp | 2536| 16360|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\cmd\command。
2024-05-05 03:37:52.978+0800|Activity|Remediationbl |mfeatp | 2536| 16360|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\cmdfile\shell\runas\command。
2024-05-05 03:37:53.324+0800|Activity|Orchestrator |mfeatp | 2536| 16360|Action |post_scan_actions.cpp(2649) | On-Execute Scan 发现检测项,检测项名称: ATP/Suspect!e9be2f86e3a3,在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: cb6cd09f6a25744a8fa6e4b3e4d260c5 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP- , 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本: , 引擎版本:
2024-05-05 03:37:56.071+0800|Activity|Remediationbl |mfeatp | 2536| 17308|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\Powershell\command。
2024-05-05 03:37:56.074+0800|Activity|Remediationbl |mfeatp | 2536| 17308|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\Powershell\command。
2024-05-05 03:37:56.094+0800|Activity|Remediationbl |mfeatp | 2536| 17308|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Microsoft.PowerShellConsole.1\Shell\Open\Command。
2024-05-05 03:37:56.135+0800|Activity|Remediationbl |mfeatp | 2536| 17308|RepairModule |ARRemediation.cpp(259) | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\SystemFileAssociations\.ps1\Shell\0\Command。
2024-05-05 03:37:56.392+0800|Activity|Orchestrator |mfeatp | 2536| 17308|Action |post_scan_actions.cpp(2649) | On-Execute Scan 发现检测项,检测项名称: ATP/Suspect!801262e122db,在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP-, 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本: , 引擎版本:
后经过多次测试,无论在自适应防护里是否打开增强补救、amsi脚本增强扫描,相关注册表键值都会被清理掉,除非强制措施里不打开清理操作,那么这样自适应防护仅仅会阻止有关某一具体的操作,而不会终止“病毒”进程、回滚相关操作了。
|