疑似感染型病毒

charlesacer

昨天在酷安下了一个刷TWRP的文件，打开之后卡巴斯基报毒也没在意，以为和通常的报毒一样，哪知道强行运行之后，卡巴斯基疯狂删文件，把电脑中的可执行文件基本上删了个遍，经论坛大佬分析疑似感染型病毒，我挨个复盘最终找到了这个文件，请大家帮忙看看，文件链接如下：

文叔叔：https://f.wss.ink/f/h1fq16uf52t
微云：https://share.weiyun.com/oesr8bv5

心醉咖啡

火绒

成顔

avast

啊松

事件: 对象已删除
用户: *
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果描述: 已删除
类型: 木马
名称: Backdoor.Win32.DarkKomet.hqxy
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: k40p一键刷入TWRP-A14.exe
对象路径: D:\安装111\桌面\A14
对象的 MD5: 00F6D1603528412C36B95FF66E71835B

pal家族

，哪知道强行运行之后

解释下，谢谢

Fadouse

双击 ES Kill
S1 回滚

GDHJDSYDH

EIS解压秒杀，VT红一大片将近七成报毒，你认真的吗兄弟？Triage上这玩意儿可是有至少三个家族的特征啊...这都能不在意强行打开吗...

略略略12138

BD

蜘蛛


这玩意儿加驱动持久化rootkit

莒县小哥

charlesacer

pal家族 发表于 2025-5-19 08:14
解释下，谢谢

我是个刷机爱好者，昨天想刷一个酷安大佬提供的内核，然后发现手机的twrp掉了，官网下载的twrp无法解密手机的data文件，然后在酷安找到了这个刷机文件，刚开始解压卡巴报毒的时候也没细看，毕竟也没用多久，以为是卡巴误报，于是就把卡巴退出了强制执行，然后用这个软件刷twrp发现刷不了，我就把这个软件给解压缩提取了里面的镜像包用其他工具刷进去了。后来启用卡巴不久就发现卡巴在疯狂地删我电脑里面的软件，恢复之后还是马上就被删了，我还以为是卡巴的问题，然后在卡巴的板块发帖求助看是什么情况，有大佬分析说我这怕是感染型的病毒，然后我回忆了一下自己的骚操作，就怀疑上这个文件了，然后就发上来让大家帮忙看看。主要是之前也没遇上真的病毒，然后一般酷安大佬的文件也不会有什么问题，所以警惕性不够就遭了这个病毒。把文件发上来纯粹是想让大家帮忙看看，别无他意，违反版规或者论坛规矩之处还请大家批评指正，我立行立改。