收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 FakeAPP 19X
123
返回列表 发新帖
楼主: hsks
 收起左侧

[病毒样本] FakeAPP 19X

[复制链接]
UNknownOoo
发表于 2024-6-16 11:40:19 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-6-16 12:01 编辑

高三的话还是学业为重呐...

火绒
扫描:15x(手动删除后剩余10x)
  1. 扫描文件:19
  2. 发现风险:15
  3. 已处理风险:0
  4. 病毒详情:
  5. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\setup_1.1.20.0.msi >> _A14ED3AA1DE947D98403FBF5B1C60BFA, 病毒名:Trojan/Generic!06FED5CE93D03BBC, 病毒ID:06fed5ce93d03bbc, 处理结果:暂不处理
  6. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\setup_1.1.20.0.msi >> _C739C109E24F4AD49849B2502D716115, 病毒名:Trojan/Generic!CFFDE1393EB8D901, 病毒ID:cffde1393eb8d901, 处理结果:暂不处理
  7. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Potato-ZH_CN-Deskto_5.0.8.msi, 病毒名:TrojanDownloader/Agent.avd, 病毒ID:86875f6c846245f7, 处理结果:暂不处理
  8. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\YoudaoDict_fanyiweb_mzo.msi, 病毒名:Trojan/Generic!1EAF2970E0133BCA, 病毒ID:1eaf2970e0133bca, 处理结果:暂不处理
  9. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Lets-[过滤].msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
  10. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Lets-[过滤].msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
  11. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\CloudChat.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
  12. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\CloudChat.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
  13. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\i4Tools-Setup-LDZ.exe, 病毒名:Trojan/Generic!DABE8A6500A607FA, 病毒ID:dabe8a6500a607fa, 处理结果:暂不处理
  14. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\WhatsApp.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
  15. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\WhatsApp.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
  16. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Potato-ZH_CN-Deskto_5.0.8.msi >> P.exe, 病毒名:TrojanDownloader/Agent.avd, 病毒ID:86875f6c846245f7, 处理结果:暂不处理
  17. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Potato.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
  18. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Potato.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
  19. 风险路径:C:\Users\UnknownOoo\Downloads\Compressed\6.15\Youdfanyi2024_x64.msi, 病毒名:Trojan/Generic!6526F4FD5E5D529E, 病毒ID:6526f4fd5e5d529e, 处理结果:暂不处理
复制代码

发现虚拟机里的火绒6扫描又多捉了一个....
  1. 扫描文件:10
  2. 发现风险:2
  3. 已处理风险:0
  4. 病毒详情:
  5. 风险路径:C:\Users\Administrator\Desktop\6.15\signal.msi >> vs.zip >> update\Python\python38.jpg, 病毒名:Trojan/Generic!6D968A1F3A765C02, 病毒ID:6d968a1f3a765c02, 处理结果:暂不处理
  6. 风险路径:C:\Users\Administrator\Desktop\6.15\signal.msi >> vs.zip >> update\Python\python39.jpg, 病毒名:Trojan/Generic!2FBC98501DFF2CAD, 病毒ID:2fbc98501dff2cad, 处理结果:暂不处理
复制代码



运行:
i4_5.02.03.exe -> 拉黑衍生物
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Windows\Fonts\WindowsInstallerAD\C706DD4\f1d3ff8443297732FWG.exe
  3. 操作结果:已允许
  4. 进程ID:952
  5. 操作进程:C:\Users\Administrator\Desktop\6.15\i4_5.02.03.exe
  6. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\i4_5.02.03.exe"
  7. 父进程ID:5400
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE

  11. 防护项目:特殊系统目录
  12. 目标文件:C:\Windows\Fonts\WindowsInstallerAD\C706DD4\f1d3ff8443297732FWG.exe
  13. 操作结果:已允许
  14. 进程ID:952
  15. 操作进程:C:\Users\Administrator\Desktop\6.15\i4_5.02.03.exe
  16. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\i4_5.02.03.exe"
  17. 父进程ID:5400
  18. 父进程:C:\Windows\explorer.exe
  19. 父进程命令行:C:\Windows\Explorer.EXE

  21. 防护项目:系统目录
  22. 目标文件:C:\Windows\Fonts\WindowsInstallerAD\C706DD4\f1d3ff8443297732FWG.exe
  23. 操作结果:已允许
  24. 进程ID:952
  25. 操作进程:C:\Users\Administrator\Desktop\6.15\i4_5.02.03.exe
  26. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\i4_5.02.03.exe"
  27. 父进程ID:5400
  28. 父进程:C:\Windows\explorer.exe
  29. 父进程命令行:C:\Windows\Explorer.EXE

  31. 防护项目:关闭UAC
  32. 操作类型:修改
  33. 数据内容:0x00000000 (0)
  34. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  35. 操作结果:已允许
  36. 进程ID:2820
  37. 操作进程:C:\Windows\SysWOW64\msiexec.exe
  38. 操作进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 65D824BAE1C43C7FD646742F5539AC2D
  39. 父进程ID:11920
  40. 父进程:C:\Windows\System32\msiexec.exe
  41. 父进程命令行:C:\Windows\system32\msiexec.exe /V

  43. 病毒名称:Trojan/Generic!45BA7A84A9947628
  44. 病毒ID:45BA7A84A9947628
  45. 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
  46. 操作类型:修改
  47. 操作结果:已处理,删除文件

  49. 进程ID:8184
  50. 操作进程:C:\Program Files (x86)\f1d3ff8443297732FWG.exe
  51. 操作进程命令行:"C:\Program Files (x86)\f1d3ff8443297732FWG.exe" x C:\Users\Default\Desktop\MdDXSODIHFND\4352d88a78aa.QWI -o"C:\Program Files (x86)\Common Files\microsoft shared" -p4352d88a78aa3975REJ -aos
  52. 父进程ID:2820
  53. 父进程:C:\Windows\SysWOW64\msiexec.exe

  55. 病毒名称:Trojan/Generic!CF8795C081EC06B7
  56. 病毒ID:CF8795C081EC06B7
  57. 病毒路径:C:\Users\Default\Desktop\MdDXSODIHFND\yybob\HipsdiaMain.dll
  58. 操作类型:修改
  59. 操作结果:已处理,删除文件

  61. 进程ID:7400
  62. 操作进程:C:\Program Files (x86)\f1d3ff8443297732FWG.exe
  63. 操作进程命令行:"C:\Program Files (x86)\f1d3ff8443297732FWG.exe" x C:\Users\Default\Desktop\MdDXSODIHFND\4352d88a78aa.UEW -oC:\Users\Default\Desktop\MdDXSODIHFND\ -pf1d3ff8443297732JAW -aos
  64. 父进程ID:2820
  65. 父进程:C:\Windows\SysWOW64\msiexec.exe
复制代码

LineInst.msi  -> 内存防护捉
  1. 防护项目:启动项
  2. 操作类型:修改
  3. 数据内容:C:\Users\Public\Update\Python\pythonw.exe C:\Users\Public\update\python\python39.jpg
  4. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\sefdome
  5. 操作结果:已允许
  6. 进程ID:3004
  7. 操作进程:C:\Users\ADMINI~1\AppData\Local\Temp\pssB546.ps1
  8. 操作进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pssB546.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msiB543.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrB544.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrB545.txt" -propSep " :<->: " -testPrefix "_testValue."
  9. 父进程ID:4700
  10. 父进程:C:\Windows\SysWOW64\msiexec.exe
  11. 父进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 76254D2F1AA0F8BF040FF9D728232F04 E Global\MSI0000

  13. 病毒名称:Backdoor/Farfli.ky
  14. 病毒ID:6CEF251BDB13B635
  15. 虚拟地址:0x0000000010000000
  16. 映像大小:9.5MB
  17. 是否完整映像:否
  18. 数据流哈希:6be23b50
  19. 操作结果:已处理
  20. 进程ID:6472
  21. 操作进程:C:\Users\Public\update\Python\pythonw.exe
  22. 操作进程命令行:"C:\Users\Public\Update\Python\pythonw.exe" C:\Users\Public\update\python\python39.jpg
  23. 父进程ID:3004
  24. 父进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  25. 父进程命令行: -NoProfile -Noninteractive -ExecutionPolicy Bypass -File "C:\Users\ADMINI~1\AppData\Local\Temp\pssB546.ps1" -propFile "C:\Users\ADMINI~1\AppData\Local\Temp\msiB543.txt" -scriptFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrB544.ps1" -scriptArgsFile "C:\Users\ADMINI~1\AppData\Local\Temp\scrB545.txt" -propSep " :<->: " -testPrefix "_testValue."
复制代码

piesohp-Photoshop.exe -> 拉黑衍生物
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Windows\Fonts\WindowsInstallerEB\1FD821E\4352d88a78aa3975MPR.exe
  3. 操作结果:已允许
  4. 进程ID:7984
  5. 操作进程:C:\Users\Administrator\Desktop\6.15\piesohp-Photoshop.exe
  6. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\piesohp-Photoshop.exe"
  7. 父进程ID:5400
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE

  11. 防护项目:特殊系统目录
  12. 目标文件:C:\Windows\Fonts\WindowsInstallerEB\1FD821E\4352d88a78aa3975MPR.exe
  13. 操作结果:已允许
  14. 进程ID:7984
  15. 操作进程:C:\Users\Administrator\Desktop\6.15\piesohp-Photoshop.exe
  16. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\piesohp-Photoshop.exe"
  17. 父进程ID:5400
  18. 父进程:C:\Windows\explorer.exe
  19. 父进程命令行:C:\Windows\Explorer.EXE

  21. 防护项目:系统目录
  22. 目标文件:C:\Windows\Fonts\WindowsInstallerEB\1FD821E\4352d88a78aa3975MPR.exe
  23. 操作结果:已允许
  24. 进程ID:7984
  25. 操作进程:C:\Users\Administrator\Desktop\6.15\piesohp-Photoshop.exe
  26. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\piesohp-Photoshop.exe"
  27. 父进程ID:5400
  28. 父进程:C:\Windows\explorer.exe
  29. 父进程命令行:C:\Windows\Explorer.EXE

  31. 病毒名称:Trojan/Generic!45BA7A84A9947628
  32. 病毒ID:45BA7A84A9947628
  33. 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
  34. 操作类型:修改
  35. 操作结果:已处理,删除文件

  37. 进程ID:4316
  38. 操作进程:C:\Program Files (x86)\4352d88a78aa3975MPR.exe
  39. 操作进程命令行:"C:\Program Files (x86)\4352d88a78aa3975MPR.exe" x C:\Users\Default\Desktop\CdXFQJKPITJD\f1d3ff844329.CLP -o"C:\Program Files (x86)\Common Files\microsoft shared" -pf1d3ff8443297732WCS -aos
  40. 父进程ID:5592
  41. 父进程:C:\Windows\SysWOW64\msiexec.exe

  43. 病毒名称:Trojan/Generic!CF8795C081EC06B7
  44. 病毒ID:CF8795C081EC06B7
  45. 病毒路径:C:\Users\Default\Desktop\CdXFQJKPITJD\yybob\HipsdiaMain.dll
  46. 操作类型:修改
  47. 操作结果:已处理,删除文件

  49. 进程ID:10604
  50. 操作进程:C:\Program Files (x86)\4352d88a78aa3975MPR.exe
  51. 操作进程命令行:"C:\Program Files (x86)\4352d88a78aa3975MPR.exe" x C:\Users\Default\Desktop\CdXFQJKPITJD\4352d88a78aa.TWG -oC:\Users\Default\Desktop\CdXFQJKPITJD\ -p4352d88a78aa3975XOF -aos
  52. 父进程ID:5592
  53. 父进程:C:\Windows\SysWOW64\msiexec.exe
复制代码

T.G-X64.msi.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x0000000002FC0000
  4. 映像大小:140KB
  5. 是否完整映像:否
  6. 数据流哈希:59b0c148
  7. 操作结果:已处理
  8. 进程ID:10008
  9. 操作进程:C:\Users\Administrator\AppData\Roaming\Telegram Desktop\tdata\Z.T-GApp_vw.Gn.exe
  10. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\Telegram Desktop\tdata\Z.T-GApp_vw.Gn.exe"
  11. 父进程ID:8588
  12. 父进程:C:\Users\Administrator\AppData\Local\Temp\is-CT4HQ.tmp\T.G-X64.msi.tmp
  13. 父进程命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-CT4HQ.tmp\T.G-X64.msi.tmp" /SL5="$15046A,39471254,964608,C:\Users\Administrator\Desktop\6.15\T.G-X64.msi.exe"

  15. 病毒名称:Backdoor/Lotok.fs
  16. 病毒ID:C284CCDE13F78515
  17. 虚拟地址:0x0000000003350000
  18. 映像大小:140KB
  19. 是否完整映像:否
  20. 数据流哈希:59b0c148
  21. 操作结果:已处理
  22. 进程ID:10008
  23. 操作进程:C:\Users\Administrator\AppData\Roaming\Telegram Desktop\tdata\Z.T-GApp_vw.Gn.exe
  24. 操作进程命令行:"C:\Users\Administrator\AppData\Roaming\Telegram Desktop\tdata\Z.T-GApp_vw.Gn.exe"
  25. 父进程ID:8588
  26. 父进程:C:\Users\Administrator\AppData\Local\Temp\is-CT4HQ.tmp\T.G-X64.msi.tmp
  27. 父进程命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-CT4HQ.tmp\T.G-X64.msi.tmp" /SL5="$15046A,39471254,964608,C:\Users\Administrator\Desktop\6.15\T.G-X64.msi.exe"
复制代码

Taxsex.com.exe -> 拉黑衍生物
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Windows\Fonts\WindowsInstallerWF\1BCB37B\f1d3ff8443297732CDP.exe
  3. 操作结果:已允许
  4. 进程ID:9432
  5. 操作进程:C:\Users\Administrator\Desktop\6.15\Taxsex.com.exe
  6. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\Taxsex.com.exe"
  7. 父进程ID:5400
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE

  11. 防护项目:特殊系统目录
  12. 目标文件:C:\Windows\Fonts\WindowsInstallerWF\1BCB37B\f1d3ff8443297732CDP.exe
  13. 操作结果:已允许
  14. 进程ID:9432
  15. 操作进程:C:\Users\Administrator\Desktop\6.15\Taxsex.com.exe
  16. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\Taxsex.com.exe"
  17. 父进程ID:5400
  18. 父进程:C:\Windows\explorer.exe
  19. 父进程命令行:C:\Windows\Explorer.EXE

  21. 防护项目:系统目录
  22. 目标文件:C:\Windows\Fonts\WindowsInstallerWF\1BCB37B\f1d3ff8443297732CDP.exe
  23. 操作结果:已允许
  24. 进程ID:9432
  25. 操作进程:C:\Users\Administrator\Desktop\6.15\Taxsex.com.exe
  26. 操作进程命令行:"C:\Users\Administrator\Desktop\6.15\Taxsex.com.exe"
  27. 父进程ID:5400
  28. 父进程:C:\Windows\explorer.exe
  29. 父进程命令行:C:\Windows\Explorer.EXE

  31. 病毒名称:Trojan/Generic!45BA7A84A9947628
  32. 病毒ID:45BA7A84A9947628
  33. 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
  34. 操作类型:修改
  35. 操作结果:已处理,删除文件

  37. 进程ID:4412
  38. 操作进程:C:\Program Files (x86)\f1d3ff8443297732CDP.exe
  39. 操作进程命令行:"C:\Program Files (x86)\f1d3ff8443297732CDP.exe" x C:\Users\Default\Desktop\MrMWXFXVEVWR\f1d3ff844329.EKV -o"C:\Program Files (x86)\Common Files\microsoft shared" -p4352d88a78aa3975FKD -aos
  40. 父进程ID:11700
  41. 父进程:C:\Windows\SysWOW64\msiexec.exe

  43. 病毒名称:Trojan/Generic!CF8795C081EC06B7
  44. 病毒ID:CF8795C081EC06B7
  45. 病毒路径:C:\Users\Default\Desktop\MrMWXFXVEVWR\yybob\HipsdiaMain.dll
  46. 操作类型:修改
  47. 操作结果:已处理,删除文件

  49. 进程ID:6668
  50. 操作进程:C:\Program Files (x86)\f1d3ff8443297732CDP.exe
  51. 操作进程命令行:"C:\Program Files (x86)\f1d3ff8443297732CDP.exe" x C:\Users\Default\Desktop\MrMWXFXVEVWR\f1d3ff844329.DOW -oC:\Users\Default\Desktop\MrMWXFXVEVWR\ -pf1d3ff8443297732UWD -aos
  52. 父进程ID:11700
  53. 父进程:C:\Windows\SysWOW64\msiexec.exe
复制代码

tsetup-x64.5.0.4.exe ->  拉黑衍生物
  1. 防护项目:特殊系统目录
  2. 目标文件:C:\Windows\Fonts\WindowsInstallerAF\1BCB37B\4352d88a78aa3975GRB.exe
  3. 操作结果:已允许
  4. 进程ID:4496
  5. 操作进程:C:\Users\Administrator\Desktop\tsetup-x64.5.0.4.exe
  6. 操作进程命令行:"C:\Users\Administrator\Desktop\tsetup-x64.5.0.4.exe"
  7. 父进程ID:5524
  8. 父进程:C:\Windows\explorer.exe
  9. 父进程命令行:C:\Windows\Explorer.EXE

  11. 防护项目:特殊系统目录
  12. 目标文件:C:\Windows\Fonts\WindowsInstallerAF\1BCB37B\4352d88a78aa3975GRB.exe
  13. 操作结果:已允许
  14. 进程ID:4496
  15. 操作进程:C:\Users\Administrator\Desktop\tsetup-x64.5.0.4.exe
  16. 操作进程命令行:"C:\Users\Administrator\Desktop\tsetup-x64.5.0.4.exe"
  17. 父进程ID:5524
  18. 父进程:C:\Windows\explorer.exe
  19. 父进程命令行:C:\Windows\Explorer.EXE

  21. 防护项目:系统目录
  22. 目标文件:C:\Windows\Fonts\WindowsInstallerAF\1BCB37B\4352d88a78aa3975GRB.exe
  23. 操作结果:已允许
  24. 进程ID:4496
  25. 操作进程:C:\Users\Administrator\Desktop\tsetup-x64.5.0.4.exe
  26. 操作进程命令行:"C:\Users\Administrator\Desktop\tsetup-x64.5.0.4.exe"
  27. 父进程ID:5524
  28. 父进程:C:\Windows\explorer.exe
  29. 父进程命令行:C:\Windows\Explorer.EXE

  31. 防护项目:关闭UAC
  32. 操作类型:修改
  33. 数据内容:0x00000000 (0)
  34. 目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  35. 操作结果:已允许
  36. 进程ID:1120
  37. 操作进程:C:\Windows\SysWOW64\msiexec.exe
  38. 操作进程命令行:C:\Windows\syswow64\MsiExec.exe -Embedding 82087FFD839C44464531787D87F71AF2
  39. 父进程ID:5896
  40. 父进程:C:\Windows\System32\msiexec.exe
  41. 父进程命令行:C:\Windows\system32\msiexec.exe /V

  43. 病毒名称:Trojan/Generic!CF8795C081EC06B7
  44. 病毒ID:CF8795C081EC06B7
  45. 病毒路径:C:\Users\Default\Desktop\IjDXXXBXAUGE\yybob\HipsdiaMain.dll
  46. 操作类型:修改
  47. 操作结果:已处理,删除文件

  49. 进程ID:3668
  50. 操作进程:C:\Program Files (x86)\4352d88a78aa3975GRB.exe
  51. 操作进程命令行:"C:\Program Files (x86)\4352d88a78aa3975GRB.exe" x C:\Users\Default\Desktop\IjDXXXBXAUGE\f1d3ff844329.TWG -oC:\Users\Default\Desktop\IjDXXXBXAUGE\ -pf1d3ff8443297732RSE -aos
  52. 父进程ID:1120
  53. 父进程:C:\Windows\SysWOW64\msiexec.exe

  55. 病毒名称:Trojan/Generic!45BA7A84A9947628
  56. 病毒ID:45BA7A84A9947628
  57. 病毒路径:C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\libmini.dll
  58. 操作类型:修改
  59. 操作结果:已处理,删除文件

  61. 进程ID:3664
  62. 操作进程:C:\Program Files (x86)\4352d88a78aa3975GRB.exe
  63. 操作进程命令行:"C:\Program Files (x86)\4352d88a78aa3975GRB.exe" x C:\Users\Default\Desktop\IjDXXXBXAUGE\4352d88a78aa.QSF -o"C:\Program Files (x86)\Common Files\microsoft shared" -pf1d3ff8443297732PGV -aos
  64. 父进程ID:1120
  65. 父进程:C:\Windows\SysWOW64\msiexec.exe
复制代码


YoudaoDict_fanyiweb_navigation.msi -> 拉黑衍生物
  1. 病毒名称:Trojan/Generic!9283A18FA93ECDB9
  2. 病毒ID:9283A18FA93ECDB9
  3. 病毒路径:C:\Program Files\Windows Defenderr\Phone.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:11920
  8. 操作进程:C:\Windows\System32\msiexec.exe
  9. 操作进程命令行:C:\Windows\system32\msiexec.exe /V
  10. 父进程ID:832
  11. 父进程:C:\Windows\System32\services.exe
复制代码

YoudaoDict-Setup-installer-LDZ.msi -> (AntoHotKey利用)似乎没跑起来?

youdaoottez-pc.msi -> (AntoHotKey利用)内存防护拦截
  1. 病毒名称:Backdoor/Lotok.fs
  2. 病毒ID:C284CCDE13F78515
  3. 虚拟地址:0x00000000035B0000
  4. 映像大小:136KB
  5. 是否完整映像:否
  6. 数据流哈希:ca4917b2
  7. 操作结果:已处理
  8. 进程ID:11032
  9. 操作进程:C:\Users\Public\Music\0day\python\pythonw.exe
  10. 操作进程命令行:C:\Users\Public\Music\0day\python\pythonw.exe  C:\Users\Public\Music\0day\python\Code.jpg
  11. 父进程ID:9272
  12. 父进程:C:\Windows\System32\cmd.exe
  13. 父进程命令行:C:\Windows\system32\cmd.exe /c start C:\Users\Public\Music\0day\python\pythonw.exe C:\Users\Public\Music\0day\python\Code.jpg
复制代码



回复

举报

hsks
 楼主| 发表于 2024-6-16 14:36:02 | 显示全部楼层
UNknownOoo 发表于 2024-6-16 11:40
高三的话还是学业为重呐...

火绒

我打算下学期开学的时候再注重学业,现在是摆烂状态(
回复

举报

孤勇者
发表于 2024-6-16 18:25:46 | 显示全部楼层
本帖最后由 孤勇者 于 2024-6-16 18:27 编辑
hsks 发表于 2024-6-16 14:36
我打算下学期开学的时候再注重学业,现在是摆烂状态(

额,高三我都没时间玩,学校抓的紧。我已经毕业了,马上就要上大学了
回复

举报

bbszy
发表于 2024-6-17 06:53:26 来自手机 | 显示全部楼层
ANY.LNK 发表于 2024-6-16 00:09
微软,扫描:0

这文件体积好生庞大,这对Defender的免杀效果也是好得出奇,我还特地检查了云的连接状况 ...

大文件卡巴的监控直接跳过吧
回复

举报

bbszy
发表于 2024-6-17 06:56:39 来自手机 | 显示全部楼层
孤勇者 发表于 2024-6-16 09:41
卡巴斯基免费版解压+扫描kill 13/19,没测主防

不扫描直接双击能拦截么,这么大的文件监控默认设置估计会跳过扫描
回复

举报

孤勇者
发表于 2024-6-17 08:50:54 | 显示全部楼层
bbszy 发表于 2024-6-17 06:56
不扫描直接双击能拦截么,这么大的文件监控默认设置估计会跳过扫描

可以,但是如果kill不了电脑可能 会中毒
回复

举报

ANY.LNK
发表于 2024-6-17 10:04:46 | 显示全部楼层
bbszy 发表于 2024-6-17 06:53
大文件卡巴的监控直接跳过吧

我这里测的是微软的
回复

举报

yaokai815
发表于 2024-6-19 10:00:56 | 显示全部楼层
本帖最后由 yaokai815 于 2024-6-19 11:35 编辑

360kill  18x  瑞星kill 6x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-9-8 09:18 , Processed in 0.096812 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表