lummastealer 脚本 测主防用

453125415

360
扫描miss
双击
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：远程线程注入
路径：C:\Windows\SysWOW64\explorer.exe (6)
拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。

防护信息: AD|2, 88|10, 10, -1||
允许了注入后

时间        操作        说明        次数
2025-07-08 23:21:39        [自动阻止]          进程创建        防护 2 次
详细描述：
进程：C:\Windows\SysWOW64\explorer.exe
动作：进程创建
路径：C:\Users\aoh\AppData\Local\Temp\HQGVJSVEJ4UN9LSLIHUSWWPO093SDHB.exe
拦截补充描述：有木马试图攻击您的电脑，360已成功拦截。

防护信息: AD|1, 4|10, -1, 70||


时间        操作        说明        次数
2025-07-08 23:21:39        [已清除]          发现木马：Win64/Trojan.Generic.HgEATzIA        防护 1 次
详细描述：
木马名称：Win64/Trojan.Generic.HgEATzIA
所在路径：C:\Users\aoh\AppData\Local\Temp\HQGVJSVEJ4UN9LSLIHUSWWPO093SDHB.exe

munsimli

卡巴主防發力

事件: 检测到恶意对象
应用程序: Windows PowerShell
用户: DESKTOP-4HLDVIF\Home
用户类型: 发起者
组件: 系统监控
结果描述: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\Home\Desktop
对象名称: 95eebe63103c046555a1dbae238a77003798f99f97352fadaa5c5e9f7b855707.ps1
原因: 行为分析
数据库发布日期: 今天，2025/7/8 下午7:49:00
MD5: 48D138518EA6C95604E156DB360F79ED

懂法守法放到

刚才又去试了下，卡巴又多了一个AMSI报法，加上前面的两个，现已知有三种报法。
事件: 检测到恶意对象
用户: DESKTOP-DOQ1659\xinyu
用户类型: 活动用户
应用程序名称: powershell.exe
应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
组件: AMSI 保护
结果描述: 检测到
类型: 木马
名称: HEUR:Trojan-PSW.MSIL.Lumma.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: amsi_stream_41
对象路径: uid://
对象的 MD5: AEF2A07AA74CD0051F3C8B9598FF6B45
原因: 机器学习
数据库发布日期: 今天，2025/7/8 19:49:00

swizzer

tony099 发表于 2025-7-8 22:47
额我实体机双击 然后就直接 窗口消失了 没发现多余进程啊 是不是中毒了咋办。。没开虚拟机

实体机双击是极其危险且不明智的行为。即使使用沙盒，面对InfoStealer也有很高的数据失窃风险。

请务必使用虚拟机。

munsimli

懂法守法放到 发表于 2025-7-9 00:04
刚才又去试了下，卡巴又多了一个AMSI报法，加上前面的两个，现已知有三种报法。
事件: 检测到恶意对象
用 ...

我這邊的AMSI保護也有這個紀錄，只是我貼出的是主防部分

munsimli

swizzer 发表于 2025-7-9 00:13
实体机双击是极其危险且不明智的行为。即使使用沙盒，面对InfoStealer也有很高的数据失窃风险。

请务 ...

前輩說的是，虛擬機不知道哪一個是比較多人使用且較易上手的呢?

lsop1349987

emsi+hmpa双击报错
江民双击kill

aikafans

munsimli 发表于 2025-7-9 00:46
前輩說的是，虛擬機不知道哪一個是比較多人使用且較易上手的呢?

善用搜索
建议VMware

lgq518

毛豆自动入沙