收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 银狐 &XAgent木马1X
12
返回列表 发新帖
楼主: ジ蓅暒划过づ
 收起左侧

[病毒样本] 银狐 &XAgent木马1X

[复制链接]
lsop1349987
发表于 前天 11:37 | 显示全部楼层
avast双击

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Rukia
发表于 前天 23:19 | 显示全部楼层
驭龙 发表于 2025-5-7 00:29
dr.web的DPH出手了,直接拿下,运行就杀了

请问是不是在Sandboxie环境下跑出来的结果?我实机测试了一下,DPH没检测到。
回复

举报

驭龙
发表于 前天 23:20 | 显示全部楼层
Rukia 发表于 2025-5-7 23:19
请问是不是在Sandboxie环境下跑出来的结果?我实机测试了一下,DPH没检测到。

是的,不过跟这个没关系,你需要看看是不是云没有连上
回复

举报

biue
发表于 前天 23:35 | 显示全部楼层
腾讯电脑管家 1X

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Rukia
发表于 昨天 00:03 | 显示全部楼层
驭龙 发表于 2025-5-7 23:20
是的,不过跟这个没关系,你需要看看是不是云没有连上

有关系吧,我打开了Dr.Web的Cloud。

我记得在卡饭的陈年老帖上 某楼看到过相关评论,翻不到原帖了。
回复

举报

驭龙
发表于 昨天 00:24 | 显示全部楼层
本帖最后由 驭龙 于 2025-5-8 00:50 编辑
Rukia 发表于 2025-5-8 00:03
有关系吧,我打开了Dr.Web的Cloud。

我记得在卡饭的陈年老帖上 某楼看到过相关评论,翻不到原帖了。
我明天开老爷机在sandboxie外运行,看看,理论上我这边另一台实机也正常触发了DPH检测机制
刚刚翻一下日志,报的行为是: inject_to_process, drop_executable, modify_executable
id: 343959, timestamp: 07.05.2025 00:26:12.0849, type: PsDelete (17), flags: 1 (wait: 1)
sid: S-1-5-7, cid: 4136/6952:\Device\HarddiskVolume6\VIRUS\MM56\1111\1111.exe
context: start addr: 0x000000000021CFE0, image: 0x0000000000170000:\Device\HarddiskVolume6\VIRUS\MM56\1111\1111.exe
unique id: 4136-133910223549336324-1507328
behaviour: inject_to_process, drop_executable, modify_executable
terminated process: \Device\HarddiskVolume6\VIRUS\MM56\1111\1111.exe:4136
fileinfo: size: 147674239, easize: 220, attr: 0x20, buildtime: 29.04.2025 21:53:59.0000, ctime: 07.05.2025 00:24:24.0186, atime: 07.05.2025 00:25:49.0624, mtime: 30.06.2024 14:32:57.0000, descr: 368380                                                      , ver: 10.450.238.751      , company:                                                             , oname: 368380                                            
file sha1: b01f165b1800386cc1f3df896db86f6e3e88880c
file sha256: ced0f9f9470165dc989655a9790db067212c17eed251c0ac05ce354d4fcd930b
status: unsigned, pe32, new_pe, dfc / unsigned / unknown / unknown / unknown / unknown
id: 343959 ==> undefined [1], time: 0.279900 ms


回复

举报

驭龙
发表于 昨天 15:50 | 显示全部楼层
Rukia 发表于 2025-5-8 00:03
有关系吧,我打开了Dr.Web的Cloud。

我记得在卡饭的陈年老帖上 某楼看到过相关评论,翻不到原帖了。

这,刚刚这是在实机运行,真的不拦截,完蛋了。我想办法还原系统去吧
回复

举报

Rukia
发表于 昨天 16:06 | 显示全部楼层
驭龙 发表于 2025-5-8 15:50
这,刚刚这是在实机运行,真的不拦截,完蛋了。我想办法还原系统去吧

不用,清理C:/User/Public/ xxx   某个不认识的文件夹就行。
再检查一下有没有可疑的服务就行。
回复

举报

驭龙
发表于 昨天 16:17 | 显示全部楼层
Rukia 发表于 2025-5-8 16:06
不用,清理C:/User/Public/ xxx   某个不认识的文件夹就行。
再检查一下有没有可疑的服务就行。

我知道,但不放心,其实手动可以解决的,感谢提醒

真没想到DPH还有这种奇葩的机制,不好玩
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-9 02:00 , Processed in 0.093050 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表