[病毒样本] 19X

显示全部楼层 · 发表于 2024-7-27 20:21:35

BD 扫描kill 3x 双击kill 11x

显示全部楼层 · 发表于 2024-7-27 21:19:50

微软更新：有史以来最快的鉴定速度
我这边还没上报完呢，那边就已经鉴定完了

显示全部楼层 · 发表于 2024-7-27 21:23:04

本帖最后由 scottxzt 于 2024-7-27 21:24 编辑

扫描后，双击，智量的监控日志
2024-07-27 21:12:16 C:\Users\攀登巅峰\AppData\Roaming\Lyric\VST.EXE                                                       MEMRAY:Potential.RAT.B01
2024-07-27 21:11:36 C:\ProgramData\Program\iusb3mon.exe                                                                Heur.ML.PE.B
2024-07-27 21:10:01 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe                                                       WIBD:HEUR.ShellCode.E00
2024-07-27 21:10:00 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->154.212.149.181                                        事件: 访问网络  操作: 允许
2024-07-27 21:09:56 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->154.212.149.181                                        事件: 访问网络  操作: 允许
2024-07-27 21:09:45 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->39.97.203.9                                           事件: 访问网络  操作: 允许
2024-07-27 21:09:42 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->39.97.203.9                                           事件: 访问网络  操作: 允许
2024-07-27 21:08:55 C:\Users\攀登巅峰\AppData\Roaming\WPS Office\12.1.0.15374\vfs_core.dll                               Heur.ML.PE.E
2024-07-27 21:07:56 C:\Program Files (x86)\libcurl.dll                                                                威胁回滚(隔离)
2024-07-27 21:07:56 C:\Program Files (x86)\xhShDaj.exe                                                                威胁回滚(隔离)
2024-07-27 21:07:56 C:\Windows\Installer\Config.Msi\e8dc8.rbf                                                          威胁回滚(隔离)
2024-07-27 21:07:56 C:\Program Files (x86)\msvcr100.dll                                                                威胁回滚(隔离)
2024-07-27 21:07:56 C:\Program Files (x86)\msvcp100.dll                                                                威胁回滚(隔离)
2024-07-27 21:07:56 C:\Program Files (x86)\1                                                                         威胁回滚(隔离)
2024-07-27 21:07:56 C:\Program Files (x86)\MaxbPHe.exe                                                                威胁回滚(隔离)
2024-07-27 21:07:52 C:\Users\攀登巅峰\AppData\Roaming\Microsoft\CML968E.tmp                                              威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Installer\Config.Msi\e8dc7.rbs                                                          威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Temp\~DFCD1651E0FD2A87D1.TMP                                                          威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Temp\~DF68BFEC2F4CD52009.TMP                                                          威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Temp\~DFFC3385EF825B7CC6.TMP                                                          威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Installer\SourceHash{D2703B40-5AD1-4DA5-9999-BF49EFD54188}                            威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Temp\~DFCF967758174F7262.TMP                                                          威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Installer\inprogressinstallinfo.ipi                                                    威胁回滚(隔离)
2024-07-27 21:07:52 C:\Windows\Installer\e8dc4.msi                                                                   威胁回滚(隔离)
2024-07-27 21:07:47 e8dcd.rbf                                                                                        威胁回滚(隔离)
2024-07-27 21:07:47 C:\Program Files (x86)\Common Files\xhShDaj.lnk                                                    威胁回滚(恢复)
2024-07-27 21:07:36 C:\Program Files (x86)\libcurl.dll                                                                Heur.Suspicious.A
2024-07-27 21:07:33 C:\Windows\System32\msiexec.exe                                                                   WIBD:HEUR.ByPassUAC.B27
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\Local\Microsoft\Windows\INetCache\IE\EI43T4J9\inspecionando[1].htm          威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\Local\LAPTOP-180QLMJ3                                                       威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\0BC604FA27EB8B4B98366CA06A2160F1  威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\0BC604FA27EB8B4B98366CA06A2160F1 威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\103621DE9CD5414CC2538780B4B75751  威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\103621DE9CD5414CC2538780B4B75751 威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\Contacts\maisum.dat                                                                威胁回滚(隔离)
2024-07-27 21:06:55 C:\Users\攀登巅峰\AppData\Local\Microsoft\Windows\INetCache\IE\2NBIVN1O\inspecionando[1].htm          威胁回滚(隔离)
2024-07-27 21:06:55 C:\Program Files (x86)\msvcr100.dll                                                                威胁回滚(隔离)
2024-07-27 21:06:55 C:\Program Files (x86)\msvcp100.dll                                                                威胁回滚(隔离)
2024-07-27 21:06:55 C:\Program Files (x86)\1                                                                         威胁回滚(隔离)
2024-07-27 21:06:55 C:\Program Files (x86)\MaxbPHe.exe                                                                威胁回滚(隔离)
2024-07-27 21:06:51 C:\Users\攀登巅峰\AppData\Roaming\Microsoft\CML957A.tmp                                              威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Installer\Config.Msi\bd786.rbs                                                          威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Temp\~DF57D6B8C169F3E876.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Temp\~DF872E3F926A165DF6.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Temp\~DF5C97676082740E97.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Installer\SourceHash{D2703B40-5AD1-4DA5-9999-BF49EFD54188}                            威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Temp\~DF6C89C6024E50D0B3.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Installer\inprogressinstallinfo.ipi                                                    威胁回滚(隔离)
2024-07-27 21:06:51 C:\Windows\Installer\bd783.msi                                                                   威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DF848D2DA36EE366B2.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DF000F619FF6215DDE.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DF57CE7199B000B54E.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DFB62801B7F5A926BD.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DF1EFEEAF5251AFC88.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DFC99A8A0320AAFC89.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DF3695FE02AD823BD1.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Temp\~DF7C754568E5600EC4.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:46 C:\Windows\Installer\bd782.msi                                                                   威胁回滚(隔离)
2024-07-27 21:06:45 C:\Users\攀登巅峰\Contacts\StarBurn.dll                                                                威胁回滚(隔离)
2024-07-27 21:06:44 C:\Users\攀登巅峰\Contacts\CDshost.exe                                                                威胁回滚(隔离)
2024-07-27 21:06:43 C:\Users\攀登巅峰\AppData\Roaming\Microsoft\CMLD972.tmp                                              威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Installer\Config.Msi\bd781.rbs                                                          威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Temp\~DFA2B4EC6D60EF5897.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Temp\~DF3BB35B57A160C90D.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Temp\~DFEC45C404D8B6800C.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Installer\SourceHash{456DBB47-6F44-468B-8541-8A2E5E2C1171}                            威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Temp\~DF889C91758BC097E6.TMP                                                          威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Installer\inprogressinstallinfo.ipi                                                    威胁回滚(隔离)
2024-07-27 21:06:43 C:\Windows\Installer\bd77e.msi                                                                   威胁回滚(隔离)
2024-07-27 21:06:43 C:\Program Files (x86)\Common Files\xhShDaj.lnk~RFd974f.TMP                                        威胁回滚(隔离)
2024-07-27 21:06:43 C:\Program Files (x86)\Common Files\xhShDaj.lnk                                                    威胁回滚(恢复)
2024-07-27 21:06:33 C:\Program Files (x86)\libcurl.dll                                                                Heur.Suspicious.A
2024-07-27 21:06:27 C:\Windows\System32\msiexec.exe                                                                   WIBD:HEUR.ByPassUAC.B27
2024-07-27 21:00:19 C:\Users\攀登巅峰\Desktop\727\zSQ6_Kuai[过滤].exe                                                       Adware.Generic

显示全部楼层 · 发表于 2024-7-27 21:26:15

scottxzt 发表于 2024-7-27 21:23
扫描后，双击，智量的监控日志
2024-07-27 21:12:16 C:%users\攀登巅峰\AppData\Roaming\Lyric\VST.EXE ...

好乱啊（

显示全部楼层 · 发表于 2024-7-27 21:27:36

智量抓小马一定要允许它网络连出，一报一个准，禁止联网的话，是不会报的。
2024-07-27 21:10:01 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe                                                       WIBD:HEUR.ShellCode.E00
2024-07-27 21:10:00 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->154.212.149.181                                        事件: 访问网络  操作: 允许
2024-07-27 21:09:56 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->154.212.149.181                                        事件: 访问网络  操作: 允许
2024-07-27 21:09:45 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->39.97.203.9                                           事件: 访问网络  操作: 允许
2024-07-27 21:09:42 C:\Users\攀登巅峰\Desktop\727\tsetup-x64&7.exe->39.97.203.9                                           事件: 访问网络  操作: 允许

显示全部楼层 · 发表于 2024-7-27 21:33:01

本帖最后由 scottxzt 于 2024-7-27 21:34 编辑

hsks 发表于 2024-7-27 21:26
好乱啊（

的确，和WD联合出击，有些双击WD直接隔离了，有些乱了

显示全部楼层 · 发表于 2024-7-27 22:27:32

本帖最后由 z紫f风l铃于 2024-7-27 22:30 编辑

ESET 13X，剩余6

显示全部楼层 · 发表于 2024-7-27 22:48:11

卡巴双击+扫描剩余7个

显示全部楼层 · 发表于 2024-7-28 03:16:28

hsks 发表于 2024-7-27 19:13
瑞星V17（AI引擎ON）
7X

最后一个相似度95%

显示全部楼层 · 发表于 2024-7-28 12:46:39

本帖最后由 scottxzt 于 2024-7-28 12:52 编辑

今天WD全报了，问下如果我们上报ESET，AVIRA ，今天能全杀吗

楼主这次样本是非常不错的样本，大多白加黑，都是大家平时耳熟能详的安装软件，这样的查杀就非常有意义的。

智量对每一个运行都有动作，抓些DLL，EXE文件，但是无法回滚做完全的隔离，许多软件还是安装上了。所以对于智量的要求不能太高了，智量只能辅助鉴别软件是否有问题

[病毒样本] 19X

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块