银狐1X

显示全部楼层 · 发表于 4 天前

玛姆库特发表于 2024-11-17 15:13
实机，解压miss，双击黑屏重启。进系统，火绒系统加固拦截了update.png

顺便撞上了个人的自定义黑名单[: ...

火绒的免疫规则拦不住这个样本的

显示全部楼层 · 发表于 4 天前

本帖最后由 scottxzt 于 2024-11-17 16:34 编辑

和前面一样一样
这银狐动静太大，没意思，过不了文件信誉，过不了HIPS 和UAC
真正难搞的还是那些下载者小卡拉米，运行直接联网，，冒充WORD，EXCEL，杀软鸦雀无声。

显示全部楼层 · 发表于 4 天前

UNknownOoo 发表于 2024-11-17 15:45
火绒的免疫规则拦不住这个样本的

那就是我自定义防住了，重启后系统一切正常，卡巴也正常

显示全部楼层 · 发表于 4 天前

玛姆库特发表于 2024-11-17 15:37
卡巴哪个版本，重启系统没？

卡巴标准版啊,都PDM了，你说重启没？

显示全部楼层 · 发表于 4 天前

scottxzt 发表于 2024-11-17 15:50
和前面一样一样

难得啊看到eset的hips，你用的是智能模式还是什么模式啊

显示全部楼层 · 发表于 4 天前

360 扫描&双击 miss.
@wowocock

显示全部楼层 · 发表于 4 天前

DisaPDB 发表于 2024-11-17 16:15
360 扫描&双击 miss.
@wowocock

虚拟机试了下，360急救箱能删除tProtect.dl和一个启动项，救回来

显示全部楼层 · 发表于 4 天前

裂空我爱杰发表于 2024-11-17 16:14
难得啊看到eset的hips，你用的是智能模式还是什么模式啊

我猜他用的交互模式，疯狂弹窗，不利于日常使用。
喜欢hips去玩火绒的hips或冰盾

显示全部楼层 · 发表于 4 天前

玛姆库特发表于 2024-11-17 16:22
虚拟机试了下，360急救箱能删除tProtect.dl和一个启动项，救回来

但是主程序被干掉了，这个还是应该拦截

显示全部楼层 · 发表于 4 天前

netweb 发表于 2024-11-17 16:23
我猜他用的交互模式，疯狂弹窗，不利于日常使用。
喜欢hips去玩火绒的hips或冰盾

ESET的交互模式，日常根本没法用，逆天弹窗

[病毒样本] 银狐1X