可疑文件

显示全部楼层 · 发表于 4 天前

EIS KILL

显示全部楼层 · 发表于 4 天前

本帖最后由 aikafans 于 2025-5-27 14:46 编辑

superLYT 发表于 2025-5-27 14:40
EIS KILL

fsp的拦截点竟然在essp之前，少见

QMNetworkMgr.dll
TR/AD.APT28.caaju

显示全部楼层 · 发表于 4 天前

aikafans 发表于 2025-5-27 14:44
essp miss

昨天晚上我打开这个文件卡巴斯基没有反应我的电脑设置被修改，怀疑这是中了木马，于是就还原了

显示全部楼层 · 发表于 4 天前

源文件就是这个吗？哪来的?

显示全部楼层 · 发表于 4 天前

啊松发表于 2025-5-27 14:51
源文件就是这个吗？哪来的?

混在网上下载的软件里文件夹名我修改了

显示全部楼层 · 发表于 4 天前

cortex 双击杀

显示全部楼层 · 发表于 4 天前

Xopii 发表于 2025-5-27 14:54
混在网上下载的软件里文件夹名我修改了

哪个网址下载的。一起当钓鱼网站上报去

显示全部楼层 · 发表于 4 天前

啊松发表于 2025-5-27 15:01
哪个网址下载的。一起当钓鱼网站上报去

也可以不过回头再说吧。还得再找找

显示全部楼层 · 发表于 4 天前

本帖最后由 328397663 于 2025-5-27 19:59 编辑

火绒秒杀

显示全部楼层 · 发表于 4 天前

Xopii 发表于 2025-5-27 14:28
我系统都还原了，就不在弄了。我是想看看有没有人知道具体这个是哪种病毒。

随便看了下，肯定是恶意的，白利用DLL
int sub_100044F0()
{
  __int128 v1; // [esp+0h] [ebp-100h] BYREF
  char v2[16]; // [esp+10h] [ebp-F0h] BYREF
  char v3[16]; // [esp+20h] [ebp-E0h] BYREF
  char v4[16]; // [esp+30h] [ebp-D0h] BYREF
  char v5[16]; // [esp+40h] [ebp-C0h] BYREF
  char v6[16]; // [esp+50h] [ebp-B0h] BYREF
  char v7[12]; // [esp+60h] [ebp-A0h] BYREF
  char v8[12]; // [esp+6Ch] [ebp-94h] BYREF
  char v9[12]; // [esp+78h] [ebp-88h] BYREF
  char v10[12]; // [esp+84h] [ebp-7Ch] BYREF
  char v11[12]; // [esp+90h] [ebp-70h] BYREF
  char v12[12]; // [esp+9Ch] [ebp-64h] BYREF
  char v13[12]; // [esp+A8h] [ebp-58h] BYREF
  char v14[12]; // [esp+B4h] [ebp-4Ch] BYREF
  char v15[12]; // [esp+C0h] [ebp-40h] BYREF
  char v16[12]; // [esp+CCh] [ebp-34h] BYREF
  char v17[12]; // [esp+D8h] [ebp-28h] BYREF
  char v18[8]; // [esp+E4h] [ebp-1Ch] BYREF
  char v19[8]; // [esp+ECh] [ebp-14h] BYREF
  char v20[8]; // [esp+F4h] [ebp-Ch] BYREF

  strcpy(v14, "360Tray.exe");
  strcpy(v13, "AVGUARD.EXE");
  strcpy(v17, "AVGNT.EXE");
  strcpy(v6, "AVCENTER.EXE");
  strcpy(v20, "QQ.EXE");
  strcpy(v12, "avastui.exe");
  v1 = xmmword_10056CC0;
  strcpy(v11, "cistray.exe");
  strcpy(v15, "rsmain.exe");
  strcpy(v10, "rsagent.exe");
  strcpy(v4, "KSafeTray.exe");
  strcpy(v9, "kxetray.exe");
  strcpy(v19, "NS.exe");
  strcpy(v16, "avpui.exe");
  strcpy(v18, "avp.exe");
  strcpy(v2, "BaiduAnSvc.exe");
  strcpy(v3, "BaidusdSvc.exe");
  strcpy(v5, "QQPCTray.exe");
  strcpy(v8, "MsMpEng.exe");
  strcpy(v7, "QAXSafe.exe");
  dword_1005D338 = sub_10025D30(v14);
  sub_10025D30(v20);
  sub_10025D30(v6);
  sub_10025D30(v17);
  sub_10025D30(v13);
  sub_10025D30(&v1);
  sub_10025D30(v12);
  sub_10025D30(v11);
  sub_10025D30(v10);
  sub_10025D30(v15);
  sub_10025D30(v9);
  sub_10025D30(v4);
  sub_10025D30(v19);
  sub_10025D30(v18);
  sub_10025D30(v16);
  sub_10025D30(v3);
  sub_10025D30(v2);
  sub_10025D30(v5);
  sub_10025D30(v8);
  dword_1005D448 = sub_10025D30(v7);
  return 1;
}

[可疑文件] 可疑文件

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块