本帖最后由 UNknownOoo 于 2024-6-14 13:57 编辑
火绒
扫描:9x(奇怪的处理逻辑,手动删除报毒文件后剩余7枚)
- 总计用时:00:00:31
- 扫描对象:32624
- 扫描文件:12
- 发现风险:9
- 已处理风险:0
- 病毒详情:
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\telegram-TG-zw_5.0.8.exe, 病毒名:Backdoor/CobaltStrike.cx, 病毒ID:a7e13c056b7d4c50, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\WhatsApp.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\WhatsApp.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\TGXG-ZHCN.msi >> zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\TGXG-ZHCN.msi >> zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\CloudChat.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\CloudChat.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\signal.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.13\signal.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
运行:
eyy-Setup.msi -> MISS
yiwaiwai.msi -> 拉黑衍生物
- 病毒名称:Trojan/Generic!3EDD2FF1A5FF5208
- 病毒ID:3EDD2FF1A5FF5208
- 病毒路径:C:\Users\Administrator\AppData\Roaming\y\libcef.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
Youdaouiz-zx.msi -> (AntoHotKey利用)内存防护拦截
- 防护项目:系统任务目录
- 目标文件:C:\Windows\System32\Tasks\AHK
- 操作结果:已允许
- 进程ID:1456
- 操作进程:C:\Windows\System32\svchost.exe
- 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
- 父进程ID:812
- 父进程:C:\Windows\System32\services.exe
- 父进程命令行:C:\Windows\system32\services.exe
- 病毒名称:Backdoor/Lotok.fs
- 病毒ID:C284CCDE13F78515
- 虚拟地址:0x0000000003BA0000
- 映像大小:320KB
- 是否完整映像:否
- 数据流哈希:dc0ab185
- 操作结果:已处理
- 进程ID:8504
- 操作进程:C:\Users\Public\Music\python\pythonw.exe
- 操作进程命令行:C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg
- 父进程ID:4900
- 父进程:C:\Windows\System32\cmd.exe
- 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\python\pythonw.exe C:\Users\Public\Music\python\qd.jpg&del C:\Users\Public\Music\python\py.zip
易歪歪.msi -> 内存防护拦截
- 病毒名称:Trojan/FakeDll.v
- 病毒ID:D4F68021E553E959
- 虚拟地址:0x000000006F450000
- 映像大小:1.6MB
- 是否完整映像:是
- 数据流哈希:716233a3
- 操作结果:已处理
- 进程ID:7544
- 操作进程:C:\ProgramData\iusb3mon.exe
- 操作进程命令行:"C:\ProgramData\iusb3mon.exe" false
- 父进程ID:11168
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding C47BD2C081B3C96CBEE30DDA1FAEE0C7
- 病毒名称:Trojan/FakeDll.v
- 病毒ID:D4F68021E553E959
- 病毒路径:C:\ProgramData\qbcore.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
- 进程ID:2300
- 操作进程:C:\ProgramData\Data\un.exe
- 操作进程命令行:"C:\ProgramData\Data\un.exe" x -o+ -ppoiuytrewq C:\ProgramData\Data\upx.rar qbcore.dll C:\ProgramData\
- 父进程ID:11168
- 父进程:C:\Windows\SysWOW64\msiexec.exe
有道翻译.msi -> 内存防护&实时监控拦截
- 病毒名称:Trojan/FakeDll.v
- 病毒ID:D4F68021E553E959
- 虚拟地址:0x0000000071CE0000
- 映像大小:1.6MB
- 是否完整映像:是
- 数据流哈希:99b17bf5
- 操作结果:已处理
- 进程ID:5272
- 操作进程:C:\ProgramData\iusb3mon.exe
- 操作进程命令行:"C:\ProgramData\iusb3mon.exe" false
- 父进程ID:944
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding D2D136179BE8008065BA334687727406
- 病毒名称:Trojan/FakeDll.v
- 病毒ID:D4F68021E553E959
- 病毒路径:C:\ProgramData\qbcore.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
- 进程ID:2808
- 操作进程:C:\ProgramData\Data\un.exe
- 操作进程命令行:"C:\ProgramData\Data\un.exe" x -o+ -ppoiuytrewq C:\ProgramData\Data\upx.rar qbcore.dll C:\ProgramData\
- 父进程ID:944
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 防护项目:系统任务目录
- 目标文件:C:\Windows\System32\Tasks\Windows Connection Manager(Windows网络连接管理服务)
- 操作结果:已阻止
- 进程ID:1480
- 操作进程:C:\Windows\System32\svchost.exe
- 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
- 父进程ID:820
- 父进程:C:\Windows\System32\services.exe
- 父进程命令行:C:\Windows\system32\services.exe
T.G-X64.msi.exe -> 拉黑衍生物
- 病毒名称:Trojan/Generic!CF8795C081EC06B7
- 病毒ID:CF8795C081EC06B7
- 病毒路径:C:\Users\Default\Desktop\XbRREETHXEER\yybob\HipsdiaMain.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
- 病毒名称:Trojan/Generic!7E4C52775D40E27F
- 病毒ID:7E4C52775D40E27F
- 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\mestat.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
- 病毒名称:Trojan/Generic!45BA7A84A9947628
- 病毒ID:45BA7A84A9947628
- 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
- 病毒名称:Trojan/Generic!30C79238AC6DB2EA
- 病毒ID:30C79238AC6DB2EA
- 病毒路径:C:\Users\Default\Desktop\XbRREETHXEER\yybob\TDPINFO.dll
- 操作类型:修改
- 操作结果:已处理,删除文件
wsp_offcail.exe -> 内存防护拦截
- 病毒名称:Backdoor/Farfli.bo
- 病毒ID:D054CE08A1374E02
- 虚拟地址:0x0000000000F50000
- 映像大小:256KB
- 是否完整映像:否
- 数据流哈希:287befe8
- 操作结果:已处理
- 进程ID:10804
- 操作进程:C:\Users\Administrator\AppData\Roaming\金山文档精灵 1.3.5\VPalyer.exe
- 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\金山文档精灵 1.3.5\VPalyer.exe"
- 父进程ID:3028
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding ED83DC15152F841B22B512D957058A38 C
- 防护项目:启动项
- 操作类型:修改
- 数据内容:"C:\Users\Administrator\AppData\Roaming\金山文档精灵 1.3.5\VPalyer.exe"
- 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YPPPzhdga
- 操作结果:已阻止
- 进程ID:10804
- 操作进程:C:\Users\Administrator\AppData\Roaming\金山文档精灵 1.3.5\VPalyer.exe
- 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\金山文档精灵 1.3.5\VPalyer.exe"
- 父进程ID:3028
- 父进程:C:\Windows\SysWOW64\msiexec.exe
- 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding ED83DC15152F841B22B512D957058A38 C
|
发表于 2024-6-13 23:58:07
