本帖最后由 UNknownOoo 于 2024-6-11 00:31 编辑
火绒6(关闭高级启发式扫描
扫描:特征 6x (实际3x)
- 扫描文件:15
- 发现风险:6
- 已处理风险:6
- 病毒详情:
- 风险路径:C:\Users\Administrator\Desktop\610\Potato-ZH_CN-Deskto_5.0.8.msi, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
- 风险路径:C:\Users\Administrator\Desktop\610\telegram-TG-zw_5.0.8.msi, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
- 风险路径:C:\Users\Administrator\Desktop\610\PPT_WPS-offce_WINX64_008.msi, 病毒名:Trojan/VBS.Runner.o, 病毒ID:c06987ab1ab9107f, 处理结果:已处理,删除文件
- 风险路径:C:\Users\Administrator\Desktop\610\telegram-TG-zw_5.0.8.msi >> exe, 病毒名:TrojanDownloader/Maloader.o, 病毒ID:c9840b021be42302, 处理结果:已处理,删除文件
- 风险路径:C:\Users\Administrator\Desktop\610\PPT_WPS-offce_WINX64_008.msi >> _6B0BAC02BA7041F79ADC5EA5C46E6E9F, 病毒名:Backdoor/Lotok.el, 病毒ID:3c0dc113c827c913, 处理结果:已处理,删除文件
- 风险路径:C:\Users\Administrator\Desktop\610\Potato-ZH_CN-Deskto_5.0.8.msi >> P.exe, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
复制代码 运行:9x(包含手动运行内存扫描)
WPS Office_12.1.0.exe -> MISS- 防护项目:关闭UAC
- 操作类型:修改
- 数据内容:0x00000000 (0)
- 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
- 操作结果:已允许
- 进程ID:7424
- 操作进程:C:\Windows\SysWOW64\msiexec.exe
- 操作进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding ED1478E355BD650F481BE270AD6CFB99
- 父进程ID:8696
- 父进程:C:\Windows\System32\msiexec.exe
- 父进程命令行:C:\Windows\system32\msiexec.exe /V
- 防护项目:服务/驱动配置项
- 操作类型:修改
- 数据内容:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
- 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Zosqjg0380b10lch\ImagePath
- 操作结果:已允许
- 进程ID:808
- 操作进程:C:\Windows\System32\services.exe
- 操作进程命令行:C:\Windows\system32\services.exe
- 父进程ID:664
- 父进程:C:\Windows\System32\wininit.exe
- 父进程命令行:wininit.exe
- 防护项目:系统目录
- 目标文件:C:\Windows\SysWOW64\XSecurite.exe
- 操作结果:已允许
- 进程ID:2840
- 操作进程:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\Haloonoroff.exe
- 操作进程命令行:"C:\Program Files (x86)\Common Files\microsoft shared\VGX\Haloonoroff.exe"
- 父进程ID:2128
- 父进程:C:\Users\Default\Desktop\CkNKTPJWMOBO\yybob\Bor32-update-flase.exe
- 父进程命令行:"C:\Users\Default\Desktop\CkNKTPJWMOBO\yybob\Bor32-update-flase.exe"
复制代码
WeChatSetu.msi -> 手动内存扫描检出
- 防护项目:启动项
- 操作类型:修改
- 数据内容:C:\kwjhtd\Agghosts.exe
- 目标注册表:HKEY_USERS\S-1-5-21-2555528855-4037978411-3127993368-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\驱动生
- 操作结果:已允许
- 进程ID:5852
- 操作进程:C:\kwjhtd\Agghosts.exe
- 操作进程命令行:"C:\kwjhtd\Agghosts.exe" 67
- 父进程ID:5684
- 父进程:C:\Windows\explorer.exe
- 父进程命令行:C:\Windows\Explorer.EXE
- 防护项目:防火墙注册表项
- 操作类型:修改
- 数据内容:0x00000000 (0)
- 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall
- 操作结果:已允许
- 进程ID:3376
- 操作进程:C:\Windows\System32\svchost.exe
- 操作进程命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p
- 父进程ID:808
- 父进程:C:\Windows\System32\services.exe
- 父进程命令行:C:\Windows\system32\services.exe
复制代码- 开始时间:2024-06-10 23:58
- 总计用时:00:00:05
- 扫描对象:2398
- 扫描文件:1343
- 发现风险:2
- 已处理风险:2
- 病毒详情:
- 风险路径:mem://5852-0xcc41ff39-0x2780000-C:\kwjhtd\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理成功,进程已结束
- 风险路径:mem://5852-0xcc41ff39-0x2900000-C:\kwjhtd\Agghosts.exe, 病毒名:Backdoor/Lotok.fr, 病毒ID:66d33fc54803b220, 处理结果:处理失败,进程结束失败
复制代码
PPT_WPS-offce_WINX64_008.msi -> 拉黑两枚衍生物
- 病毒名称:Trojan/Generic!9283A18FA93ECDB9
- 病毒ID:9283A18FA93ECDB9
- 病毒路径:C:\Program Files\Windows Defenderr\1
- 操作类型:修改
- 操作结果:已处理,删除文件
- 病毒名称:Trojan/Generic!9283A18FA93ECDB9
- 病毒ID:9283A18FA93ECDB9
- 病毒路径:C:\Program Files\Windows Defenderr\Phone.exe
- 操作类型:修改
- 操作结果:已处理,删除文件
复制代码
sougou_pinyin_14.5b.msi -> MISS
enigma.msi -> MISS
enigmasetup223.msi -> 捉衍生物
- 防护项目:特殊系统目录
- 目标文件:C:\Program Files\1.exe
- 操作结果:已允许
- 进程ID:7876
- 操作进程:C:\Windows\Installer\MSIB56E.tmp
- 操作进程命令行:"C:\Windows\Installer\MSIB56E.tmp"
- 父进程ID:8696
- 父进程:C:\Windows\System32\msiexec.exe
- 父进程命令行:C:\Windows\system32\msiexec.exe /V
- 病毒名称:HVM:Trojan/MalBehav.gen!G
- 病毒ID:EE33171609E5DC92
- 病毒路径:C:\Program Files\2.exe
- 操作类型:修改
- 操作结果:已处理,删除文件
复制代码
telegram-TG-zw_5.0.8.msi -> 特征捉衍生物
- 病毒名称:TrojanDownloader/Maloader.o
- 病毒ID:C9840B021BE42302
- 病毒路径:C:\Users\Administrator\AppData\Roaming\Taxsex64\telegram\tdata\emoji\9011.exe
- 操作类型:修改
- 操作结果:已处理,删除文件
- 病毒名称:TrojanDownloader/Maloader.o
- 病毒ID:C9840B021BE42302
- 病毒路径:C:\Windows\Installer\MSI5CC6.tmp
- 操作类型:修改
- 操作结果:已处理,删除文件
复制代码
MosGram.msi -> 特征捉衍生物
- 防护项目:服务/驱动配置项
- 操作类型:修改
- 数据内容:"C:\Program Files (x86)\Jastin\MosGram\MosGram\resources\wwstsvc.exe" user svc
- 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MosGramNew\ImagePath
- 操作结果:已允许
- 进程ID:808
- 操作进程:C:\Windows\System32\services.exe
- 操作进程命令行:C:\Windows\system32\services.exe
- 父进程ID:664
- 父进程:C:\Windows\System32\wininit.exe
- 父进程命令行:wininit.exe
- 病毒名称:Backdoor/Lotok.dhk
- 病毒ID:41F59E09E9A85A58
- 病毒路径:C:\Program Files (x86)\Jastin\MosGram\MosGram\resources\WWStartupCtrl64.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
复制代码
mielpor.exe -> 拉黑衍生物
- 防护项目:服务/驱动配置项
- 操作类型:修改
- 数据内容:C:\Program Files (x86)\Common Files\microsoft shared\VGX\OTGContainer.exe
- 目标注册表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ZBJCOptimization\ImagePath
- 操作结果:已允许
- 进程ID:808
- 操作进程:C:\Windows\System32\services.exe
- 操作进程命令行:C:\Windows\system32\services.exe
- 父进程ID:664
- 父进程:C:\Windows\System32\wininit.exe
- 父进程命令行:wininit.exe
- 病毒名称:Trojan/Generic!A5B1BB0B93549A43
- 病毒ID:A5B1BB0B93549A43
- 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
复制代码
paopao.msi -> MISS
MeiqiaWinLast.msi -> 内存&实时文件监控捉衍生物
- 病毒名称:Trojan/FakeDll.v
- 病毒ID:D4F68021E553E959
- 虚拟地址:0x000000006E820000
- 映像大小:1.6MB
- 是否完整映像:是
- 数据流哈希:13be6864
- 操作结果:已处理
- 进程ID:4124
- 操作进程:C:\ProgramData\iusb3mon.exe
- 操作进程命令行:"C:\ProgramData\iusb3mon.exe" false
- 父进程ID:5204
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 6B75DDDC6D682D74C38FC4ADEFC16C4F
- 病毒名称:Trojan/FakeDll.v
- 病毒ID:D4F68021E553E959
- 病毒路径:C:\ProgramData\qbcore.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
- 防护项目:系统任务目录
- 目标文件:C:\Windows\System32\Tasks\Windows Connection Manager(Windows网络连接管理服务)
- 操作结果:已允许
- 进程ID:1448
- 操作进程:C:\Windows\System32\svchost.exe
- 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
- 父进程ID:808
- 父进程:C:\Windows\System32\services.exe
- 父进程命令行:C:\Windows\system32\services.exe
复制代码
Potato-ZH_CN-Deskto_5.0.8.msi ->特征捉衍生物
- 病毒名称:Trojan/Injector.bhp
- 病毒ID:8907D00F9644703E
- 病毒路径:C:\Windows\Installer\MSI3BB1.tmp
- 操作类型:修改
- 操作结果:已处理,删除文件
- 病毒名称:Trojan/Injector.bhp
- 病毒ID:8907D00F9644703E
- 病毒路径:C:\Users\Administrator\AppData\Roaming\Potato\plugin\P.exe
- 操作类型:修改
- 操作结果:已处理,删除文件
复制代码
PotatoInstaller.msi -> MISS
- 防护项目:系统默认程序
- 操作类型:修改
- 数据内容:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe" -workdir "C:/Users/Administrator/AppData/Roaming/Potato/" -- "%1"
- 目标注册表:HKEY_USERS\S-1-5-21-2555528855-4037978411-3127993368-500_Classes\pt\shell\open\command\
- 操作结果:已允许
- 进程ID:10140
- 操作进程:C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe
- 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe" -noupdate
- 父进程ID:6552
- 父进程:C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe
- 父进程命令行:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe"
- 防护类型:麦克风保护
- 操作结果:已允许
- 进程ID:10140
- 操作进程:C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe
- 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\Potato\PotatoApp.exe" -noupdate
复制代码
lets[过滤]-setup.exe (2).exe -> 可能的虚拟环境检测,无法运行
wsp.exe -> 内存特征捉
- 病毒名称:Backdoor/Farfli.bo
- 病毒ID:D054CE08A1374E02
- 虚拟地址:0x0000000001430000
- 映像大小:256KB
- 是否完整映像:否
- 数据流哈希:5020e0ab
- 操作结果:已处理
- 进程ID:4688
- 操作进程:C:\Program Files\ghsaduguas\金山文檔精靈 更智能 更懂你\VST.exe
- 操作进程命令行:"C:\Program Files\ghsaduguas\金山文檔精靈 更智能 更懂你\VST.exe"
- 父进程ID:7628
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding A98B3EFA3AFA9B1E7814F4BDB3901EF2 C
- 防护项目:启动项
- 操作类型:修改
- 数据内容:"C:\Program Files\ghsaduguas\金山文檔精靈 更智能 更懂你\VST.exe"
- 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCcuzzE
- 操作结果:已允许
- 进程ID:4688
- 操作进程:C:\Program Files\ghsaduguas\金山文檔精靈 更智能 更懂你\VST.exe
- 操作进程命令行:"C:\Program Files\ghsaduguas\金山文檔精靈 更智能 更懂你\VST.exe"
- 父进程ID:7628
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding A98B3EFA3AFA9B1E7814F4BDB3901EF2 C
复制代码
|