收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 FakeAPP 83X
返回列表 发新帖
查看: 1138|回复: 5
收起左侧

[病毒样本] FakeAPP 83X

[复制链接]
hsks
发表于 2025-10-10 19:09:22 | 显示全部楼层 |阅读模式
https://pan.huang1111.cn/s/3ebqASm

评分

参与人数 3人气 +12 收起 理由
tony099 + 3 大佬牛逼 明天我上报给卡巴漏报的
UNknownOoo + 3 校园网哭了要..
Rukia + 6 版区有你更精彩: )

查看全部评分

回复

举报

tony099
发表于 2025-10-10 20:33:29 | 显示全部楼层
大佬 能否分流 下载太慢了 10g...
回复

举报

lovexiaomo
发表于 7 天前 | 显示全部楼层
这么大的包没人试,卡巴kill 53
回复

举报

Curve25519
发表于 7 天前 | 显示全部楼层
本帖最后由 Curve25519 于 2025-10-12 15:53 编辑

ESET Smart Security Premium。注:大部分 miss 的文件应该都手动上报了。似乎只要上报了,复测都能解压 kill。某些文件太大,无法右键直接上报

A 到 C(共6个文件)

(Aicoin.exe、AisiToos_8.37_1747795776.msi 外监控 kill,AisiToos_8.37_1747795776.msi 扫描 kill,Aicoin.exe miss, LiveGuard miss,运行后本体、衍生物扫描均 miss,后来双击 services.exe kill 1 衍生物)

2025/10/11 16:57:08;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\W\ChromeSetup-1640.msi;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;9BC3329CE46CD3AF23D47730BC30121B864540E5;2025/10/11 16:57:01;;
2025/10/11 16:57:08;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.14357.rartemp\bit-win.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;42C39C7E33B092559895C1D5E0741DF3EF3688D1;;;
2025/10/11 16:57:08;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.14357.rartemp\BitrBrowesr_X64.7-8..exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;DE9523EA51A086ADB37B32C080EC7035DDBA8E2A;;;
2025/10/11 16:59:03;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\W\ChromeSetup-5287.msi;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;719699DCF38DDE24A6472DDA5156083B617830C7;2025/10/11 16:57:01;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 16:59:54
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\Aicoin.exe;W:\Sandbox\Admin\Virus_test\drive\W\AisiToos_8.37_1747795776.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\AisiToos_8.37_1747795776.msi > MSI > disk1.cab > CAB > EnumW.dll - Win64/Agent_AGen.GNG 特洛伊木马 的变量 - 已保留
已扫描的对象数: 1823
检测数: 1
已清除的对象数: 0
完成时间: 17:00:11  总扫描时间: 17 秒 (00:00:17)

2025/10/11 17:03:25;ESET 内核;文件“Aicoin.exe”已发送到 ESET Virus Lab 以供分析。;SYSTEM
2025/10/11 17:03:39;ESET 内核;ESET LiveGuard 正在分析文件,以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;DESKTOP-K07940I\Admin
2025/10/11 17:05:38;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;DESKTOP-K07940I\Admin

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 17:06:54
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\Aicoin.exe;W:\Sandbox\Admin\Virus_test\drive\W\Aicoin_original.exe;W:\Sandbox\Admin\Virus_test\drive\W\services.exe
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 1634
检测数: 0
完成时间: 17:07:08  总扫描时间: 14 秒 (00:00:14)

2025/10/11 17:08:13;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\_MEI127002\microsoft.exe;Win32/CertBL.0A4BA0 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;2FC384D33E7899CF5073DD8EB741E10615E078D9;2025/10/11 17:08:11;;


D 到 E(共3个文件)

(除 DBeaver_25.1_Setup.exe 外解压时监控 kill,DBeaver_25.1_Setup.exe 扫描 miss,沙盘中安装 kill 1 衍生物(本体双击才清除,但失败了)。20251012 复测,DBeaver_25.1_Setup.exe 解压 kill)

2025/10/11 17:32:39;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.29049.rartemp\eww3.12.1.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A047262B497F2F904B37BDB58AD8A46C36298F66;;;
2025/10/11 17:32:39;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.29049.rartemp\deepl6ad6e.msi;Generik.MDBBFDN 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;9F8832C10B561BECE84ECD7833E4DEADBC1F64A7;2025/10/11 17:32:35;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 17:34:37
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\DBeaver_25.1_Setup.exe
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 1
检测数: 0
完成时间: 17:34:37  总扫描时间: 0 秒 (00:00:00)

2025/10/11 17:35:20;深度行为检测扫描程序;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\W\DBeaver_25.1_Setup.exe;Win64/Agent_AGen.GXR 特洛伊木马;正在清除 时出错;DESKTOP-K07940I\Admin;;;;;
2025/10/11 17:35:20;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\C\Program Files\DBeaver\is-9VGNP.tmp;Win64/Agent_AGen.GXR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;B7BB3FA7EFCDCF43A26C18FC15535A01C9D2DC6C;2025/10/11 17:35:17;;

2025/10/12 13:44:47;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.1630.rartemp\DBeaver_25.1_Setup.exe;Generik.HEYNMMN 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A496512D4BACB3F10B9F77274D7058292FD778B5;2025/10/11 17:32:36;;

G(共6文件)

ggogechorem.exe、GGllq_Insssuialler_Setup1.exe_signed_1.exe 解压 kill,其他监控 miss,Google_email_2025100998.exe LiveGuard 分析后 kill,剩下的 Google_Broswer_20251009.exe、google_chome_win7-11_v1759944947.9130225.exe、Google_Broswer_20251008.exe 扫描 kill。奇怪的是 Google_Broswer_20251008.exe LiveGrid 信誉为有风险,居然不 kill

1012 复测, Google_Broswer_20251009.exe、google_chome_win7-11_v1759944947.9130225.exe、Google_email_2025100998.exe 解压 kill,Google_Broswer_20251008.exe 解压仍然 miss

2025/10/11 17:48:37;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.24554.rartemp\ggogechorem.exe;Win64/Farfli.AI 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A4912FDE342AE38C21FFC0E69C375266E0B8DC88;2025/10/11 17:48:34;;
2025/10/11 17:48:52;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.24554.rartemp\GGllq_Insssuialler_Setup1.exe_signed_1.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;B3DF34698D2EE433C318DF23A615380B7179479E;;;

2025/10/11 17:53:51;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\W\Google_email_2025100998.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;739E9862E53394A503E9C47512AE24C481358476;2025/10/11 17:48:35;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 17:55:21
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\google_chome_win7-11_v1759944947.9130225.exe;W:\Sandbox\Admin\Virus_test\drive\W\Google_Broswer_20251008.exe;W:\Sandbox\Admin\Virus_test\drive\W\Google_Broswer_20251009.exe
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\Google_Broswer_20251009.exe > INNO > {app}\EnumW.dll - Win32/Agent.AHVR 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\Google_Broswer_20251008.exe > INNO > {app}\EnumW.dll - Win32/Agent.AHVR 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\google_chome_win7-11_v1759944947.9130225.exe > INNO > {app}\UnityPlayer.dll - Win64/ShellcodeRunner.BLA 特洛伊木马 - 已保留
已扫描的对象数: 40966
检测数: 3
已清除的对象数: 0
完成时间: 18:03:32  总扫描时间: 491 秒 (00:08:11)



2025/10/12 13:47:43;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.16267.rartemp\Google_email_2025100998.exe;Win32/Agent.AHVR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;739E9862E53394A503E9C47512AE24C481358476;;;
2025/10/12 13:48:11;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.16267.rartemp\Google_Broswer_20251009.exe;Win32/Agent.AHVR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;3156C77B3BFDB20E8763FCCA39D875FE71475563;;;
2025/10/12 13:48:17;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.16267.rartemp\google_chome_win7-11_v1759944947.9130225.exe;Win64/ShellcodeRunner.BLA 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;FBF16795A210D5A49FAF612B6AF08761DDAB72A1;;;

H(共3文件)

HelloWorld-2.1.2.win-x64.exe 监控 miss,扫描报可疑应用程序,沙盘中运行 kill 1 衍生物,HelloWorld_win64_Setup_8.6.exe、Heucnmbm.exe 解压 kill。20251012 复测,HelloWorld-2.1.2.win-x64.exe 监控 kill

2025/10/11 18:26:59;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.4979.rartemp\HelloWorld_win64_Setup_8.6.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;FEA6A2706EE9D7B11FE730F3D79737664F2E7FB7;;;
2025/10/11 18:27:06;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.4979.rartemp\Heucnmbm.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;97403DB3D29ECC5D215AF9E57DDC2BCD3F51F833;;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 18:30:12
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\HelloWorld-2.1.2.win-x64.exe
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\HelloWorld-2.1.2.win-x64.exe - Win32/Packed.NSISmod.BG 可疑应用程序 的变量 - 已保留
已扫描的对象数: 2
检测数: 1
已清除的对象数: 0
完成时间: 18:30:12  总扫描时间: 0 秒 (00:00:00)

2025/10/11 18:31:21;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\aefore.dll;Generik.NWPSPRW 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;F8C5AD4D4FCB77A87B2B5EE0CAC72EE2F185641F;2025/9/24 19:59:08;;

2025/10/12 13:55:17;深度行为检测扫描程序;文件;W:\Sandbox\Admin\DefaultBox\drive\W\HelloWorld-2.1.2.win-x64.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;;C3A2E51C1A48FBE2EE33654A42910D1062B0C5FF;;;

I(共4文件)

i4-windows.exe 解压 kill,其他监控 miss,i4Setup.exe 查看 LiveGrid 信誉时 kill,此外 install_flash-谷歌翻译.msi 在查看 LiveGrid 信誉时触发 LiveGuard 分析,过一段时间后刷新资源管理器时监控 kill,i4_8.37_1747795776.msi 扫描 kill。
20251012 复测,i4Setup.exe、install_flash-谷歌翻译.msi 解压 kill,i4_8.37_1747795776.msi 监控仍然 miss(注:此文件超出大小限制,无法直接右键上报)

2025/10/11 18:35:03;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.3231.rartemp\i4-windows.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;CFDC60FA6797EE63FA3FE578EF1024DCE5E20161;;;

2025/10/11 18:36:42;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\W\i4Setup.exe;MSIL/TrojanDownloader.Agent.SGI 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\System32\dllhost.exe (F401AE9310FAB4781A3E9FA1EAFF26F3D484C6E0).;0578F30E8F770E473B4F3BBA2DB402E8B8913B7D;;;

2025/10/11 18:42:46;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\W\install_flash-谷歌翻译.msi;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;3105006B264E0C3A57C71732B7FA008E7488784B;2025/10/11 18:34:57;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 18:43:39
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\i4_8.37_1747795776.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\i4_8.37_1747795776.msi > MSI > disk1.cab > CAB > EnumW.dll - Win64/Agent_AGen.GNG 特洛伊木马 的变量 - 已保留
已扫描的对象数: 112
检测数: 1
已清除的对象数: 0
完成时间: 18:43:41  总扫描时间: 2 秒 (00:00:02)

2025/10/12 13:55:13;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.14045.rartemp\i4Setup.exe;MSIL/TrojanDownloader.Agent.SGI 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;0578F30E8F770E473B4F3BBA2DB402E8B8913B7D;;;
2025/10/12 13:55:17;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\install_flash-谷歌翻译.msi;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;3105006B264E0C3A57C71732B7FA008E7488784B;2025/10/11 18:34:59;;

K(共2文件)

全部解压时监控 kill

2025/10/11 18:46:16;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.20767.rartemp\Klets.64[过滤]dn.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A3CBEB589B3289E1E559FDFEE77A79AEE1A6E043;;;
2025/10/11 18:46:16;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.20767.rartemp\ksflswn.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;20B984688A6A89F825754D1D386B94B0033BF555;;;

L(共7文件)

解压 kill 3文件,扫描 kill 4个(其中 Le{和谐}-2-last{和谐}.exe 报潜在不受欢迎的应用程序,沙盘中运行监控 kill 2文件,其中1木马)
1012 复测,Ld1.56-X64_v1760021443.4039595.exe(报 Win64/ShellcodeRunner.BLA 特洛伊木马)、Le[过滤]-2-last[过滤].exe(报 NSIS/TrojanDropper.Agent.FE 特洛伊木马)解压 kill,ldpdstallwsr_x3.5.msi、lepn.msi 解压仍不报

2025/10/11 18:48:05;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.31368.rartemp\LineInstaa.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;8EBC9ED6593584A5EB0BADFAD8662AB123B82E58;;;
2025/10/11 18:48:05;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.31368.rartemp\Lets[过滤].exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;619A71BEB435701F1D92DC9F1E42E5D830F6D665;;;
2025/10/11 18:48:20;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.31368.rartemp\Loeoeroiucvb.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;FB5C2500F7F39F1388C552DC698A43D6901A7449;;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 18:49:26
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\Ld1.56-X64_v1760021443.4039595.exe;W:\Sandbox\Admin\Virus_test\drive\W\ldpdstallwsr_x3.5.msi;W:\Sandbox\Admin\Virus_test\drive\W\lepn.msi;W:\Sandbox\Admin\Virus_test\drive\W\Le[过滤]-2-last[过滤].exe
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\ldpdstallwsr_x3.5.msi > MSI > disk1.cab > CAB > dtrdyurtfi1.exe > NSIS > Script.nsi - Win64/Agent.GXJ 特洛伊木马 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\ldpdstallwsr_x3.5.msi > MSI > disk1.cab > CAB > ldplayer9_ld_999_ld.exe - Win32/LDCloud.A 潜在的不受欢迎应用程序 的变量 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\Le[过滤]-2-last[过滤].exe > NSIS > le[过滤]-last[过滤].exe > NSIS > Script.nsi - MSIL/Lets[过滤].A 潜在的不受欢迎应用程序 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\lepn.msi > MSI > disk1.cab > CAB > letsn.exe > NSIS > Script.nsi - MSIL/Lets[过滤].A 潜在的不受欢迎应用程序 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\lepn.msi > MSI > disk1.cab > CAB > EnumW.dll - Win64/Agent_AGen.GNG 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\Ld1.56-X64_v1760021443.4039595.exe > INNO > {app}\UnityPlayer.dll - Win64/ShellcodeRunner.BLA 特洛伊木马 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\Ld1.56-X64_v1760021443.4039595.exe > INNO > {app}\update\Uninst000.exe - Win32/LDCloud.A 潜在的不受欢迎应用程序 的变量 - 已保留
已扫描的对象数: 44095
检测数: 7
已清除的对象数: 0
完成时间: 18:49:47  总扫描时间: 21 秒 (00:00:21)

2025/10/11 18:53:35;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\C\Program Files (x86)\lets[过滤]\lets[过滤]\EnumW.dll;Win64/Agent_AGen.GNG 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\msiexec.exe (5FF322CEBF40A3ACC4351A92B734E0F1AD9448C5).;82564126AED446F6E5F56A512FAE66FF0C4619D7;2025/10/5 14:23:50;;

2025/10/12 14:50:07;文件系统实时防护;文件;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.41879.rartemp\Ld1.56-X64_v1760021443.4039595.exe;多个检测;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;6B0EB066B0BC4ECB364008D0494E84B87EA0B793;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.41879.rartemp\Ld1.56-X64_v1760021443.4039595.exe > INNO > {app}\UnityPlayer.dll;Win64/ShellcodeRunner.BLA 特洛伊木马;已通过删除清除;;E2FC849C8766499931BFF6D1970040462B7143CA;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.41879.rartemp\Ld1.56-X64_v1760021443.4039595.exe > INNO > {app}\update\Uninst000.exe;Win32/LDCloud.A 潜在的不受欢迎应用程序 的变量;已通过删除清除;;5843119719C29D53BC34A5F717BD149B1956ABDA;
2025/10/12 14:53:06;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.11179.rartemp\Le[过滤]-2-last[过滤].exe;多个检测;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;6BFA62B5A3AE90C49FBEF7C4A324F20D97B408B2;;;



M-P(共4文件)

解压 kill MobaXterm_Community_v24.1_Setup.exe,扫描 kill 2 文件 Potaчo_Desktoq2.97.09.exe、potato土豆_Installer_Setup_HH.msi,NSTeчamsSetuq.exe 解压、扫描 miss,沙盘中运行 kill 6 衍生物

20251012 复测,NSTeчamsSetuq.exe、Potaчo_Desktoq2.97.09.exe 解压 kill

2025/10/11 19:31:25;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.41745.rartemp\MobaXterm_Community_v24.1_Setup.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A6868E755C7A4939101530FCE3FB4329C9402478;2025/9/30 15:26:04;;

扫描日志
检测引擎的版本: 32006 (20251011)
日期: 2025/10/11  时间: 19:32:00
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\Potaчo_Desktoq2.97.09.exe;W:\Sandbox\Admin\Virus_test\drive\W\NSTeчamsSetuq.exe;W:\Sandbox\Admin\Virus_test\drive\W\potato土豆_Installer_Setup_HH.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\potato土豆_Installer_Setup_HH.msi > MSI > Binary._BF84D321CFCEFEA02F92AC3F19AB7EFD - VBS/Agent.RRX 特洛伊木马 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\potato土豆_Installer_Setup_HH.msi > MSI > disk1.cab > CAB > __11 - Win32/Agent.ACAM.Gen 特洛伊木马 - 已保留
已扫描的对象数: 328
检测数: 2
已清除的对象数: 0
完成时间: 19:32:06  总扫描时间: 6 秒 (00:00:06)


2025/10/11 19:36:27;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\user\current\AppData\Local\Profiler.json;Win32/ShellCode.AA 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;CE27F0123FAEC4CD0B9A01DBF160BC387C8B8757;2025/10/11 19:36:25;;
2025/10/11 19:36:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\user\current\AppData\Roaming\GPUCache2.xml;Win32/ShellCode.AA 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;E4BC0DD1A3AD01C99C61F0510BD136F412804B9F;2025/10/11 19:36:41;;
2025/10/11 19:36:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\user\current\AppData\Roaming\Embarcadero\GPUCache.xml;Win32/ShellCode.AA 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;D42BD0CA9E7B9B74D891377B03C153F2F1E2130A;2025/10/11 19:36:41;;
2025/10/11 19:36:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\user\current\AppData\Roaming\GPUCache.xml;Win32/ShellCode.AA 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;D42BD0CA9E7B9B74D891377B03C153F2F1E2130A;2025/10/11 19:36:41;;
2025/10/11 19:36:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\user\current\AppData\Roaming\Embarcadero\GPUCache2.xml;Win32/ShellCode.AA 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;E4BC0DD1A3AD01C99C61F0510BD136F412804B9F;2025/10/11 19:36:41;;
2025/10/11 19:36:46;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\user\current\AppData\Roaming\Embarcadero\AutoRecoverDat.dll;Win64/Packed.Enigma.CE 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;84FE6859544EB05263552900C62F964FC856BC6A;2025/10/11 19:36:41;;


2025/10/12 14:59:32;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.49443.rartemp\NSTeчamsSetuq.exe;NSIS/TrojanDropper.Agent.FE 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A7BCF83DA01B251D90F2031C2844D6A994286C3B;2025/10/11 19:31:24;;
2025/10/12 14:59:34;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.49443.rartemp\Potaчo_Desktoq2.97.09.exe;NSIS/TrojanDropper.Agent.FE 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A9EFF9B22A602E03B88A545E5865458FE901916B;;;



Q(共3文件)

解压 kill 2文件,quick_steup6.1.2.msi miss,扫描 kill

2025/10/11 20:19:21;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.29134.rartemp\quickq.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;DB0F82E64CBC036508F0F5E53DEBE930E760043B;;;
2025/10/11 20:19:22;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\Virus_test\drive\H\cacheandtemp\Temp\Rar$DRb5088.29134.rartemp\QuickQ3-64.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;589B0B132F8C8C7B07D4F3EFDFC301EEF470376A;;;

扫描日志
检测引擎的版本: 32007 (20251011)
日期: 2025/10/11  时间: 20:20:43
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\Virus_test\drive\W\quick_steup6.1.2.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\Virus_test\drive\W\quick_steup6.1.2.msi > MSI > disk1.cab > CAB > ProgramDevices.exe - WinGo/Agent_AGen.MT 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\quick_steup6.1.2.msi > MSI > disk1.cab > CAB > WinHexdate.exe - WinGo/ShellcodeRunner.OC 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\Virus_test\drive\W\quick_steup6.1.2.msi > MSI > disk1.cab > CAB > winCache.exe - WinGo/Agent_AGen.MT 特洛伊木马 的变量 - 已保留
已扫描的对象数: 643
检测数: 3
已清除的对象数: 0
完成时间: 20:21:01  总扫描时间: 18 秒 (00:00:18)


S(共12文件)
解压 kill 6 文件,扫描 kill 8个(实际上是5个),剩下 SecureCRT_Setup.exe,沙盘中运行 kill 2文件(1衍生物+1本体),但本体清除失败。

1012 复测 1011 没有解压 kill 的文件,Sandboxie-Plus-x1854535.exe、SecureCRT_Setup.exe、SiGua-3.1.3-windows-x64-installer.exe、sogou-15.9-windows-x64-installer.exe 解压 kill,SiGuaNavigation_FCnstallsupesk.msi 解压似乎 miss,右键查看 LiveGrid 信誉时 kill

2025/10/11 21:36:21;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.40800.rartemp\Seup3.1.12.exe;Win64/Farfli.AI 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;CD873ECCBF99E4B0E9D499C0BAAC20C563A9DF87;2025/10/11 20:24:15;;
2025/10/11 21:36:22;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.40800.rartemp\S-ignst_WindowsX64.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;A547AC4A8A7AD4291D96191D39C7F62B8C0A8620;;;
2025/10/11 21:36:24;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.40800.rartemp\SiчGuaTaik.exe;NSIS/TrojanDropper.Agent.FE 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;D879ABA86808E1F8AE58A12FA775DA90ED9A53ED;;;
2025/10/11 21:36:24;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.40800.rartemp\signalzhsual.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;6130F3B89AB17CC8FEEBC6C91D8163FBE4B33CD2;;;
2025/10/11 21:36:24;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.40800.rartemp\Sogod3d8b.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;0B3D4EA3045EA54E4300F71152BB2264BCDB172E;;;
2025/10/11 21:36:32;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.40800.rartemp\Scbxvmne.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;43CC193E9358C4CE253F180DC6DE58D257E0780F;;;

W:\Sandbox\Admin\DefaultBox\drive\W\SiGuaNavigation_FCnstallsupesk.msi > MSI > disk1.cab > CAB > txt - Win32/ShellCode.AC 特洛伊木马 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\SiGua-3.1.3-windows-x64-installer.exe > INSTALLBUILDER > default\programfilesosx\gea\installer.exe - Win32/Agent.AHWI 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\SiGua-3.1.3-windows-x64-installer.exe > INSTALLBUILDER > default\programfilesosx\gea\libcurl.dll - Win32/Agent.AHWI 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\Sandboxie-Plus-x1854535.exe > INDIGOROSE > %AppFolder%\dtrdhgrd (3).exe > NSIS > Script.nsi - Win64/Agent.GXJ 特洛伊木马 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\sogou-15.9-windows-x64-installer.exe > INSTALLBUILDER > default\programfilesosx\gea\installer.exe - Win32/Agent.AHWI 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\sogou-15.9-windows-x64-installer.exe > INSTALLBUILDER > default\programfilesosx\gea\libcurl.dll - Win32/Agent.AHWI 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\silganlr.msi > MSI > Signal > CAB > Guard.dll - Win32/Agent.AHUI 特洛伊木马 的变量 - 已保留
W:\Sandbox\Admin\DefaultBox\drive\W\silganlr.msi > MSI > Installer > CAB > WindowsEvent.exe - Win32/GenKryptik.HLFO 特洛伊木马 的变量 - 已保留

2025/10/11 21:45:21;深度行为检测扫描程序;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\SecureCRT_Setup.exe;Win64/Agent.HFR 特洛伊木马;正在清除 时出错;DESKTOP-K07940I\Admin;;;;;
2025/10/11 21:45:21;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\C\Program Files\SecureCRT\is-KBUKA.tmp;Win64/Agent.HFR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;3314B54C3E259D0735D7B3A7D7C025F665AE262C;2025/10/11 21:45:19;;

1012 复测

2025/10/12 15:34:03;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.5281.rartemp\Sandboxie-Plus-x1854535.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;D2AC9C32CD5CD838E3DC54AC079DED1B1240AEED;;;

2025/10/12 15:35:39;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.17245.rartemp\SecureCRT_Setup.exe;Generik.JQPKPMY 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;07B418085AB4EB191C019863AC0A0FC301679BDD;2025/10/11 20:24:16;;

2025/10/12 15:36:54;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.24337.rartemp\SiGua-3.1.3-windows-x64-installer.exe;Win32/Agent.AHWI 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;4CCCC7526626380D1ACA86049ABB7D372294CFC1;;;

2025/10/12 15:37:45;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\SiGuaNavigation_FCnstallsupesk.msi;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (CCCC8ACEDC552EE115C6BC6D560378998796D407).;DC391188100A36EABA9EDE0536244AEBCDE04713;2025/10/12 15:37:32;;


T

解压 kill 5 文件,剩下 2 文件,TG-Setup.exe 在右键准备查看 LiveGrid 信誉时 kill,TDeaskcb-23vs.05.exe 解压、扫描 miss,似乎无法在沙盘中运行。1012 复测,TG-Setup.exe 解压 kill

2025/10/11 22:43:17;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.42703.rartemp\tsatup-x64.5.18.10.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;F0A6ABDB2C6FB8044BA11B802ED8CDF1D3FAE4FB;;;
2025/10/11 22:43:17;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.42703.rartemp\tpuexsd-x64.1.7.3.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;5FD8C19E64B375BD578768CD47BD297AC7D97966;;;
2025/10/11 22:43:21;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.42703.rartemp\tsetup-x64.6.1.3.exe;NSIS/TrojanDropper.Agent.FE 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;1BE9DDA95281E52D75A4C1D90CAC344C2FA0B8BA;;;
2025/10/11 22:43:24;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.42703.rartemp\Tdkcnboeu.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;F91B540B96CF1888EA765C511A4165B8AA4874F4;;;
2025/10/11 22:43:24;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb3456.42703.rartemp\Tmkciouroe.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E5F0CFE212639C255B4C3A182C074D033301EE80;;;

2025/10/11 22:45:58;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\TG-Setup.exe;ESET LiveGuard 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (EA6066D4C145AF46220B996AA37C0449B41A9A6C).;1FC60590ED0FDDAB609AED94F4C3B6048213CAF1;2025/10/11 22:43:13;;

扫描日志
检测引擎的版本: 32007 (20251011)
日期: 2025/10/11  时间: 22:46:58
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\TDeaskcb-23vs.05.exe
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 9
检测数: 0
完成时间: 22:46:59  总扫描时间: 1 秒 (00:00:01)

\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.2234.rartemp\TG-Setup.exe;MSIL/TrojanDownloader.Agent.SGN 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;1FC60590ED0FDDAB609AED94F4C3B6048213CAF1;;;



W

共12文件,解压 kill 8x,剩下 wangwang_win_online2.4.11.exe、win32-quickq.msi、Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi、WindTerm_v2.6_Setup.exe,扫描 kill Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi。win32-quickq.msi 在沙盘中运行 miss

Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi、WindTerm_v2.6_Setup.exe 上报后不久再次解压文件时 LiveGrid 通过监控 kill,wangwang_win_online2.4.11.exe 很可能是白文件?只有卡巴斯基 kill:https://www.virustotal.com/gui/f ... bc9184211?nocache=1

2025/10/12 10:55:33;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\w-1.9.2.6.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;CCD61F1D77F71DD199C40FEB5F41FA2A44E9EC99;;;
2025/10/12 10:55:37;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\wangwang-win.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;00D76C5FFDB88C9225325905D9DA6C1367FBD8D0;;;
2025/10/12 10:55:41;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\wangwang_win_online2.5.1.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;E33F6CD407741D7EAE4736EA30FDD9CD5EBF9D5E;;;
2025/10/12 10:55:41;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\W.P.S_Setu_214512.exe;多个检测;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;5A66E011F88024E92F36FD66119D0EF6EDC49BE8;;;
2025/10/12 10:55:43;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\Wfcmpoue.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;52A491E3C37A51687FB06C6EAC38CD44007BB764;;;
2025/10/12 10:55:50;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\WPS_Setup_21915.exe;多个检测;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;D77935E8A9CCEB3E914EC274220B1DE4071931E2;;;
2025/10/12 10:56:04;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\WpsSetup_x64_v0.0.2.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;7A080790C1DC7C3842354691FA8750B896F231EF;;;
2025/10/12 10:56:09;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.34955.rartemp\Wps_Setup_install_v0.0.4_x64.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;49AB46B29901A3AF9F1F54C193037114548695EE;;;

扫描日志
检测引擎的版本: 32009 (20251011)
日期: 2025/10/12  时间: 10:58:26
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\WindTerm_v2.6_Setup.exe;W:\Sandbox\Admin\DefaultBox\drive\W\wangwang_win_online2.4.11.exe;W:\Sandbox\Admin\DefaultBox\drive\W\Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi;W:\Sandbox\Admin\DefaultBox\drive\W\win32-quickq.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\WindTerm_v2.6_Setup.exe > INNO > setup.data - 不受支持的选项
W:\Sandbox\Admin\DefaultBox\drive\W\Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi > MSI > disk1.cab > CAB > txt - Win32/ShellCode.AC 特洛伊木马 - 已保留
已扫描的对象数: 3800
检测数: 1
已清除的对象数: 0
完成时间: 10:58:48  总扫描时间: 22 秒 (00:00:22)

2025/10/12 11:22:07;ESET 内核;可疑文件“Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi”已发送到 ESET Virus Lab 以供分析。;SYSTEM
2025/10/12 11:30:18;ESET 内核;可疑文件“WindTerm_v2.6_Setup.exe”已发送到 ESET Virus Lab 以供分析。;SYSTEM

2025/10/12 12:01:38;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\Win7-11_VMwva_install_Youdao_player_WERUCNNC.msi;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (CCCC8ACEDC552EE115C6BC6D560378998796D407).;6FC7CD888950248B05D3DFB79CA74EBCE8D5BDDF;2025/10/12 12:00:23;;
2025/10/12 12:01:38;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\WindTerm_v2.6_Setup.exe;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (CCCC8ACEDC552EE115C6BC6D560378998796D407).;F2BFAEF30DE45EB4E672A3C627F972B26E68ECD1;2025/10/12 10:55:40;;



X

解压 kill 2 文件(全部 kill)

2025/10/12 12:33:20;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.22465.rartemp\XiangrikuiSetup_x64_v0.0.7.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;6FD21132C395CDF9689F53FA7F23C6724247A3A5;;;
2025/10/12 12:33:21;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.22465.rartemp\XiangrikuiSetup_x64_v0.1.7.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;036EE7E3EE7C3091E29CE5C936B799F21E8DFE1B;;;



Y

共7文件,解压剩2文件:Yiwaiwai Build Version 132.msi、YoudaoFanyiNavigation_FCnstalnsupesk.exe,扫描 kill Yiwaiwai Build Version 132.msi。YoudaoFanyiNavigation_FCnstalnsupesk.exe 沙盘中运行时监控 kill 2 衍生物

2025/10/12 12:34:37;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.30549.rartemp\YoudaoDicsetup_X64.exe;Win64/Agent.GXJ 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;2F343439C068823B4ED599D804B213B3481855B7;;;
2025/10/12 12:34:42;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.30549.rartemp\YDlrwejtgli.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;624528A12078E52D51E2A30F0BEAD3DCA9A0C11B;;;
2025/10/12 12:34:52;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.30549.rartemp\YoudaoDict_fanyiweb_navigation.exe;NSIS/TrojanDropper.Agent.FE 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;83B0F59824F8FA3FC754295C239F46752C0E72D3;;;
2025/10/12 12:34:54;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.30549.rartemp\YoudaoSetup_x64_v0.0.3.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;C3BC8799F2C050A91252476EBDB7FCE0B7F4BEF3;;;
2025/10/12 12:34:58;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.30549.rartemp\Ywhcvnbxcvm.exe;Win32/TrojanDropper.Agent.TCR 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;428724C86FDFAD56D0348C6BD2B1731222883039;;;

扫描日志
检测引擎的版本: 32009 (20251011)
日期: 2025/10/12  时间: 12:36:26
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\YoudaoFanyiNavigation_FCnstalnsupesk.exe;W:\Sandbox\Admin\DefaultBox\drive\W\Yiwaiwai Build Version 132.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\Yiwaiwai Build Version 132.msi > MSI > disk1.cab > CAB > EnumW.dll - Win64/Agent_AGen.GNG 特洛伊木马 的变量 - 已将选择操作推迟到扫描完成后进行
W:\Sandbox\Admin\DefaultBox\drive\W\Yiwaiwai Build Version 132.msi > MSI > disk1.cab > CAB > EnumW.dll - Win64/Agent_AGen.GNG 特洛伊木马 的变量 - 已保留
已扫描的对象数: 21571
检测数: 1
已清除的对象数: 0
完成时间: 12:37:15  总扫描时间: 49 秒 (00:00:49)

2025/10/12 12:38:44;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\all\TbDzD\jli.dll;WinGo/Agent.ALD 特洛伊木马 的变量;已删除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;0AE90AF79D94275AF1BA184A57B3F9A58C88C849;;;
2025/10/12 12:39:03;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\current\AppData\Local\Youdao\Dict\Application\install_11.2.9.0\11.2.9.0\resultui\html\js\termBank.js;Win32/CertBL.0A4BA0 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;D05B5436D507790BFD958DD08C75BE1EC5351637;2025/10/12 12:39:01;;



文件名为中文开头的文件(共 5 文件)

解压 kill 海王出海_Setup_2122-JJGY.exe,扫描 kill 客户端5.1.12版本.msi(此文件 1012 复测解压 LiveGuard kill)、红111枫叶客户端222V3.3am.exe(报可疑应用程序)、谷歌安装包_05.03.18转接口.msi(似乎是报壳)。比特浏览器-7.0.8-x64.exe 解压、扫描 miss,沙盘中运行 kill 部分衍生物

\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.33368.rartemp\海王出海_Setup_2122-JJGY.exe;多个检测;已通过删除清除;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;21727A97EBF4A0968C68181019FEFFF4CA694E93;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.33368.rartemp\海王出海_Setup_2122-JJGY.exe > INNO > {app}\manual-ref\LUSasdmsk.exe;Win64/Agent.GXJ 特洛伊木马 的变量;已通过删除清除;;1F62121D796E8AAA5E29188F1C139C9D84538E3F;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.33368.rartemp\海王出海_Setup_2122-JJGY.exe > INNO > {app}\manual-ref\yA.dll;Win64/Agent.GZR 特洛伊木马 的变量;已通过删除清除;;F7087C783C6841FF6BBFC458FE250348BDC9C254;
\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\H\cacheandtemp\Temp\Rar$DRb8380.33368.rartemp\海王出海_Setup_2122-JJGY.exe > INNO;Win32/TrojanDropper.Agent.TAN 特洛伊木马 的变量;已通过删除清除;;BABE8C835599C97C68457B538DEC16487A69F7A8;

扫描日志
检测引擎的版本: 32009 (20251011)
日期: 2025/10/12  时间: 13:03:18
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\红111枫叶客户端222V3.3am.exe;W:\Sandbox\Admin\DefaultBox\drive\W\客户端5.1.12版本.msi;W:\Sandbox\Admin\DefaultBox\drive\W\比特浏览器-7.0.8-x64.exe;W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\客户端5.1.12版本.msi - ESET LiveGuard 特洛伊木马 - 已通过删除清除 [1]
W:\Sandbox\Admin\DefaultBox\drive\W\红111枫叶客户端222V3.3am.exe - Win32/Packed.NSISmod.BG 可疑应用程序 的变量 - 已通过删除清除 [1]
W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi > MSI > disk1.cab > CAB > svchost.exe - Win32/Packed.VMProtect.ACU 特洛伊木马 的变量 - 已将选择操作推迟到扫描完成后进行
W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi > MSI > disk1.cab > CAB > setup.exe - Win32/Packed.VMProtect.ACE 特洛伊木马 的变量 - 已将选择操作推迟到扫描完成后进行
W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi > MSI > Binary.cwpacknetsh - Win32/Packed.VMProtect.ACE 特洛伊木马 的变量 - 已将选择操作推迟到扫描完成后进行
W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi > MSI > disk1.cab > CAB > svchost.exe - Win32/Packed.VMProtect.ACU 特洛伊木马 的变量 - 已删除
W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi > MSI > disk1.cab > CAB > setup.exe - Win32/Packed.VMProtect.ACE 特洛伊木马 的变量 - 已删除
W:\Sandbox\Admin\DefaultBox\drive\W\谷歌安装包_05.03.18转接口.msi > MSI > Binary.cwpacknetsh - Win32/Packed.VMProtect.ACE 特洛伊木马 的变量 - 已删除
已扫描的对象数: 150
检测数: 5
已清除的对象数: 5
完成时间: 13:03:35  总扫描时间: 17 秒 (00:00:17)

备注:
[1] 由于对象中仅包含病毒主体,因此已被删除。


沙盘中运行比特浏览器-7.0.8-x64.exe:

2025/10/12 13:06:13;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\current\AppData\Roaming\WebView2\256\is-6T7KS.tmp;Win32/GenKryptik.HLOX 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;A26671C2AA8B3274C8A36FFB731F6572D0C48390;2025/10/12 13:06:11;;












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

压缩的时空
发表于 6 天前 | 显示全部楼层
火绒专杀结果

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wowocock
发表于 5 天前 | 显示全部楼层
压缩的时空 发表于 2025-10-12 08:53
火绒专杀结果

还漏了一个处理,专杀下个版本解决。
通过cmd运行powershell,从指定网址https://pub-08152b48249543bcb376b59ba6e2daeb.r2.dev/AnyDesk.exe下载到开机启动项%appdata%\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\AnyDesk.exe,这样即使我们把木马样本exe拉黑能够干掉启动项,但如果该计划任务不被清除,理论上可以每次开机都会执行计划任务从网上下载木马到启动目录导致反复查杀不掉。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-10-18 09:18 , Processed in 0.175289 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表