【开放测试】卡饭病毒样本包 20251021 第281期

wwwab

当前共提供3种下载链接：
下载1: https://pan.huang1111.cn/s/jRGx2cy  访问密码:77889619
下载2: https://pan.moe/s/qpkOf4  访问密码:77889619
下载3: https://c.wss.cc/f/i9oz4fusu78  访问密码:77889619

压缩包SHA-256: aff1e0640bcdc242b9ef2605f8da6755ad6d1217be66559a3efe97e2376759f1

样本数量: 36 (单位: 个)

当前测试阶段：开放测试

注意事项

1. 占楼后2小时内未能给出测试结果的，视为灌水，按照论坛规定处理。
2. 如有其他违规行为，按照论坛相关规定处理。

温馨提示与免责声明

样本仅供学习、研究、测试用途，测试前您应知晓样本可能具有威胁您的计算机安全的风险，下载即代表您应自行承担相应带来的所有风险。

aboringman

ESET（双潜：ON）：32

1. 扫描日志
   
2. 检测引擎的版本: 32057 (20251020)
   
3. 日期: 2025/10/21  时间: 8:25:22
   
4. 已扫描的磁盘、文件夹和文件: C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101
   
5. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\2025-10-20-0855.js - JS/Agent.TOP 特洛伊木马 - 已通过删除清除 [1]
   
6. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\2025-10-20-0923.js - JS/Agent.TOP 特洛伊木马 - 已通过删除清除 [1]
   
7. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\57shippingdocuments_ETD.bat - MSIL/Kryptik.AORT 特洛伊木马 的变量 - 已通过删除清除 [1]
   
8. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\Transaction Summary_ LDA.exe - Win32/Injector.Autoit.GIQ 特洛伊木马 的变量 - 已通过删除清除 [1]
   
9. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\Bank Details Reconfirmation.jse - JS/TrojanDownloader.Agent.ADLE 特洛伊木马 - 已通过删除清除 [1]
   
10. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\air.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
    
11. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\cashhhh.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
    
12. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\Enquiry.js - JS/TrojanDownloader.Agent.ADLK 特洛伊木马 - 已通过删除清除 [1]
    
13. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\MOJOCUMServer_Encrypted.jpg.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
    
14. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\New Order PO4500564358.exe - MSIL/Kryptik.AORV 特洛伊木马 的变量 - 已通过删除清除 [1]
    
15. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\New Purchase Order PO-4902134.js - JS/Agent.TOS 特洛伊木马 - 已通过删除清除 [1]
    
16. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\New_Order_Ningbo_Sunny_2025-10-20.pdf.jse - JS/TrojanDownloader.Agent.ADLJ 特洛伊木马 - 已通过删除清除 [1]
    
17. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\rComprovantedep.exe - MSIL/Kryptik.AOSA 特洛伊木马 的变量 - 已通过删除清除 [1]
    
18. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\rOrdendecompra_pdf.jse - JS/TrojanDownloader.Agent.ADKN 特洛伊木马 - 已通过删除清除 [1]
    
19. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\PI and payment confirmed.VBE.vbe - VBS/TrojanDropper.Agent.PVX 特洛伊木马 - 已通过删除清除 [1]
    
20. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\rOrdenes_1001126_029881_412908_601222.jse - JS/TrojanDownloader.Agent.ADLJ 特洛伊木马 - 已通过删除清除 [1]
    
21. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\rPedidos_1001126_029881_412908_601222.jse - JS/TrojanDownloader.Agent.ADLF 特洛伊木马 - 已通过删除清除 [1]
    
22. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\sea.ps1 - PowerShell/Agent.DLH 特洛伊木马 - 已通过删除清除 [1]
    
23. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\PO#008455.pif - MSIL/Kryptik.AORV 特洛伊木马 的变量 - 已通过删除清除 [1]
    
24. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\PO9092893893.VBE.vbe - VBS/TrojanDropper.Agent.PVX 特洛伊木马 - 已通过删除清除 [1]
    
25. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\Quotation 4634-091724.exe - MSIL/PureCrypter.A 特洛伊木马 - 已通过删除清除 [1]
    
26. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\RFQ 5767889546.exe - Win32/Injector.Autoit.GIQ 特洛伊木马 的变量 - 已通过删除清除 [1]
    
27. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\RFQ-T0519046573945.exe - Win32/Injector.Autoit.GIQ 特洛伊木马 的变量 - 已通过删除清除 [1]
    
28. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\SWIFT Ref No TT 00189330982.js - JS/TrojanDownloader.Agent.ADLI 特洛伊木马 - 已通过删除清除 [1]
    
29. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\sirdee.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
    
30. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\slyxx.ps1 - PowerShell/Agent.DLH 特洛伊木马 - 已通过删除清除 [1]
    
31. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\stein.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
    
32. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\TT REQUISITION FOR $ 84,400.00GARDENIA WEARSINVOICE NO-4002025.bat - MSIL/Kryptik.AORT 特洛伊木马 的变量 - 已通过删除清除 [1]
    
33. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\TT slip.js - JS/TrojanDownloader.Agent.ADLM 特洛伊木马 - 已通过删除清除 [1]
    
34. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\微信核对处理N.exe - Win32/Packed.VMProtect.ABT 特洛伊木马 的变量 - 已通过删除清除 [1]
    
35. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\点击安装简体中文包.exe - Win32/TrojanDropper.Agent.SYJ 特洛伊木马 的变量 - 已通过删除清除 [1]
    
36. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\点击安装简体中文包_rar.exe > RAR5 > 点击安装简体中文包.exe - Win32/TrojanDropper.Agent.SYJ 特洛伊木马 的变量 - 已将选择操作推迟到扫描完成后进行
    
37. C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\点击安装简体中文包_rar.exe > RAR5 > 点击安装简体中文包.exe - Win32/TrojanDropper.Agent.SYJ 特洛伊木马 的变量 - 已删除
    
38. 已扫描的对象数: 243
    
39. 检测数: 32
    
40. 已清除的对象数: 32
    
41. 完成时间: 8:25:42  总扫描时间: 20 秒 (00:00:20)
    
42. 
    
43. 备注:
    
44. [1] 由于对象中仅包含病毒主体，因此已被删除。

复制代码

---

qifei.exe：

1. 2025/10/21 8:32:15;C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\qifei.exe;5.5 MB;Suspicious Object;1;123a\123aaa;7D5F422168EB5D7D48106A0ABF76180D631F6B1C

复制代码

explorer.exe：运行，触发深度行为检测

1. 2025/10/21 8:33:16;深度行为检测扫描程序;文件;C:\Users\123aaa\Desktop\5fm6gkgU_infected2025102101\新建文件夹\explorer.exe;BH/GenImper.A.2 特洛伊木马;已通过删除清除;3FC5BB8EC4C0E9DFEB351C1C3D5CA9965142313B;;;

复制代码

setup-dingt2025.EXE/钉.办公_50067_841025.EXE：运行，ESET全程无反应，手动内存扫描后检测到威胁（需重启清除），清除后重启不再复发（这货好像没有持久化的操作，没有检查到可疑启动项）

1. 检测引擎的版本: 32057 (20251020)
   
2. 日期: 2025/10/21  时间: 8:40:05
   
3. 已扫描的磁盘、文件夹和文件: 系统内存
   
4. 系统内存 > Uninstall.exe(5440) - Win32/Farfli.DAV 特洛伊木马 的变量 - 已包含被感染的文件
   
5. 系统内存 > Uninstall.exe(5440) - Win32/Farfli.DAV 特洛伊木马 的变量 - 已包含被感染的文件 (下次重新启动后) [2]
   
6. 已扫描的对象数: 1407
   
7. 检测数: 2
   
8. 已清除的对象数: 2
   
9. 完成时间: 8:40:08  总扫描时间: 3 秒 (00:00:03)
   
10. 
    
11. 备注:
    
12. [2] 对象正在使用中(已打开或正在运行)。要完成清除，必须重新启动系统。

复制代码

部分衍生物已上报ESET

赛里木湖

BDTS kill35x  其中解压杀 20x

1. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\57shippingdocuments_ETD.bat 已感染 Gen:Suspicious.Cloud.1.Um0@aylwRmi 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
2. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\TT REQUISITION FOR $ 84,400.00GARDENIA WEARSINVOICE NO-4002025.bat 已感染 Gen:Suspicious.Cloud.1.Um0@aylwRmi 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
3. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\Enquiry.js=>(INFECTED_JS) 已感染 JS:Trojan.Cryxos.15129 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
4. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\Enquiry.js 已感染 JS:Trojan.Cryxos.15129 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
5. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\Enquiry.js 已被偵測為感染 JS:Trojan.Cryxos.15129。Bitdefender 已刪除此項目，您的裝置目前是安全的。
   
6. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\air.ps1 已感染 Heur.BZC.PZQ.Pantera.50.E19F8F4E 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
7. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\cashhhh.ps1 已感染 Heur.BZC.PZQ.Pantera.50.F798D7E1 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
8. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\Bank Details Reconfirmation.jse 已感染 Trojan.GenericKD.77589291 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨
   
9. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\MOJOCUMServer_Encrypted.jpg.ps1 已感染 Heur.BZC.PZQ.Pantera.50.B5058760 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
   
10. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\New Order PO4500564358.exe 已感染 Gen:Variant.Genie.8DN.1118 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
11. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\New Purchase Order PO-4902134.js 已感染 Trojan.GenericKD.77589715 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
12. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\PI and payment confirmed.VBE.vbe 已感染 GT:VB.AgentTesla.4.928B78FB 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
13. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\PO#008455.pif 已感染 Trojan.GenericKD.77589250 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
14. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\PO9092893893.VBE.vbe 已感染 GT:VB.AgentTesla.4.928B78FB 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
15. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\Quotation 4634-091724.exe 已感染 IL:Trojan.MSILZilla.223920 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
16. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\rComprovantedep.exe 已感染 Gen:Variant.MSILHeracles.232466 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
17. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\RFQ 5767889546.exe 已感染 Gen:Suspicious.Cloud.1.kvW@au1Y3phi 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
18. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\sirdee.ps1 已感染 Heur.BZC.PZQ.Pantera.50.CFE9F504 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨
    
19. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\RFQ-T0519046573945.exe 已感染 Trojan.Generic.39116994 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
20. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\rOrdendecompra_pdf.jse 已感染 Trojan.GenericKD.77589386 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
21. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\stein.ps1 已感染 Heur.BZC.PZQ.Pantera.50.F7EB426C 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
22. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\SWIFT Ref No TT 00189330982.js 已感染 Trojan.GenericKD.77589211 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
23. 檔案 C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\TT REQUISITION FOR $ 84,400.00GARDENIA WEARSINVOICE NO-4002025.bat 感染了 Gen:Suspicious.Cloud.1.Um0@aylwRmi。威脅已成功封鎖，您的裝置目前是安全的。
    

复制代码

扫描miss

双击 kill 15x

1. Bitdefender 將威脅移至隔離區。檔案名稱：C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\explorer.exe。建議您執行系統掃描以確保您的系統乾淨。
   
2. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
   
3. 偵測識別碼：SuspiciousBehavior.56EDF37D05719428
   
4. 
   
5. 應用程式 wscript.exe 已被偵測為可能是惡意程式並遭到封鎖。
   
6. 應用程式路徑： C:\Windows\System32\wscript.exe
   
7. (命令列參數： "C:\Windows\System32\wscript.exe" "C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\New_Order_Ningbo_Sunny_2025-10-20.pdf.jse")
   
8. 偵測識別碼：SuspiciousBehavior.56EDF37D09AF87C3
   
9. 
   
10. 應用程式 qifei.exe 已被偵測為可能是惡意程式並遭到封鎖。
    
11. 應用程式路徑： C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\qifei.exe
    
12. (命令列參數： "C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\qifei.exe")
    
13. 偵測識別碼：Generic.ShellCode.Marte.2.5338247
    
14. 
    
15. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
    
16. 偵測識別碼：SuspiciousBehavior.56EDF37D31AF9BD1
    
17. 應用程式 70Jyk1CK0lxB.exe 已被偵測為可能是惡意程式並遭到封鎖。
    
18. 應用程式路徑： C:\Users\Meadow\AppData\Roaming\Adobe Por\kRMOb0SXZ_xZ8l9\70Jyk1CK0lxB.exe
    
19. 
    
20. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
    
21. 偵測識別碼：Gen:Variant.Application.Barys.62732
    
22. 
    
23. 為了保護您，我們封鎖了這個危險頁面：
    
24. http://213.209.157.234/host/air.ps1
    
25. 訪問者：wscript.exe
    
26. 
    
27. Bitdefender 將威脅移至隔離區。檔案名稱：C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\点击安装简体中文包.exe。建議您執行系統掃描以確保您的系統乾淨。
    
28. 應用程式 7xn8yX98C2gK.exe 已被偵測為可能是惡意程式並遭到封鎖。
    
29. 應用程式路徑： C:\Users\Meadow\AppData\Roaming\Adobe\B63iNb0_2jgD3ZM9\7xn8yX98C2gK.exe
    
30. 
    
31. Bitdefender 將威脅移至隔離區。檔案名稱：C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\微信核对处理N.exe。建議您執行系統掃描以確保您的系統乾淨。
    
32. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
    
33. 偵測識別碼：Gen:Variant.Application.Barys.62732
    
34. 
    
35. Bitdefender 將威脅移至隔離區。檔案名稱：C:\Users\Meadow\Desktop\infected2025102101\新建文件夹\钉.办公_50067_841025.EXE。建議您執行系統掃描以確保您的系統乾淨。
    
36. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
    
37. 偵測識別碼：Gen:Variant.Application.Barys.62732
    
38. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
    
39. 偵測識別碼：SuspiciousBehavior.56EDF37D5B86540E
    
40. 
    
41. PowerShell 試圖載入偵測為 CMD:Heur.BZC.ZFV.Boxter.941.1AFB5E08 並被封鎖的惡意資源。您的裝置已被保護。
    
42. PowerShell 試圖載入偵測為 CMD:Heur.BZC.ZFV.Boxter.941.8C637527 並被封鎖的惡意資源。您的裝置已被保護。
    
43. 
    
44. 該應用程式 C:\Windows\System32\wscript.exe 被傳遞了惡意命令列並已被封鎖。您的裝置現在安全無虞。
    
45. 命令列："C:\Windows\System32\wscript.exe" "C:\Users\Meadow\Desktop\infected2025102101\rOrdenes_1001126_029881_412908_601222.jse
    
46. 
    
47. 檔案 C:\Users\Meadow\Desktop\infected2025102101\rOrdenes_1001126_029881_412908_601222.jse 已感染 Gen:Suspicious.Cloud.1.00A083E3670000 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
48. 
    
49. 該應用程式 C:\Windows\System32\wscript.exe 被傳遞了惡意命令列並已被封鎖。您的裝置現在安全無虞。
    
50. 命令列："C:\Windows\System32\wscript.exe" "C:\Users\Meadow\Desktop\infected2025102101\2025-10-20-0855.js"
    
51. 
    
52. 檔案 C:\Users\Meadow\Desktop\infected2025102101\rPedidos_1001126_029881_412908_601222.jse 已感染 Gen:Suspicious.Cloud.1.00721731690000 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨
    
53. 檔案 C:\Users\Meadow\AppData\Roaming\Microsoft\Windows\Recent\2025-10-20-0855.js.lnk 已感染 Gen:Suspicious.Cloud.1.00BC3658570000 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    
54. 
    
55. 該應用程式 C:\Windows\System32\wscript.exe 被傳遞了惡意命令列並已被封鎖。您的裝置現在安全無虞。
    
56. 命令列："C:\Windows\System32\wscript.exe" "C:\Users\Meadow\Desktop\infected2025102101\2025-10-20-0923.js"
    
57. 
    
58. 檔案 C:\Users\Meadow\Desktop\infected2025102101\2025-10-20-0923.js 已感染 Gen:Suspicious.Cloud.1.00BC36A1680000 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。
    

复制代码

注：其中TT slip.js被阻止下载ps1脚本，未隔离，未观察到系统中powershell及wscript后续运行

最终miss 1x（为Transaction Summary_ LDA.exe 无法运行）


观察到一个有意思的现象，有4个js,jse脚本都是先阻止命令运行，然后过一会云杀隔离

莒县小哥

MD杀22枚

zfc234

Polar beta扫描（IKARUS）19x，开启VT情报后修改剩余文件名监控继续杀11x，剩余6x（部分文件因Polar不支持中文名所以有修改）
扫描剩余



监控开启后剩余

tony099

360杀毒扫描19X

ulyanov2233

卡巴斯基

事件: 扫描已完成。现在没有活动威胁
用户: firefly\Y8219
用户类型: 发起者
组件: 病毒扫描
已扫描对象: 210
已检测对象: 23
对象已处理: 23
对象未清除: 0
对象已清除: 0
对象已删除: 23
移动到隔离区的对象数量: 0

在卡巴扫描后用essp扫描：

扫描日志
检测引擎的版本: 32056P (20251020)
日期: 2025/10/21  时间: 9:57:35
已扫描的磁盘、文件夹和文件: C:\Users\Y8219\Downloads\infected2025102101
用户: FIREFLY\Y8219
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\2025-10-20-0855.js - JS/Agent.TOP 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\2025-10-20-0923.js - JS/Agent.TOP 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\MOJOCUMServer_Encrypted.jpg.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\air.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\cashhhh.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\sea.ps1 - PowerShell/Agent.DLH 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\sirdee.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\slyxx.ps1 - PowerShell/Agent.DLH 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\stein.ps1 - PowerShell/Agent.DKT 特洛伊木马 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\点击安装简体中文包.exe - Win32/TrojanDropper.Agent.SYJ 特洛伊木马 的变量 - 已通过删除清除 [1]
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\点击安装简体中文包_rar.exe > RAR5 > 点击安装简体中文包.exe - Win32/TrojanDropper.Agent.SYJ 特洛伊木马 的变量 - 已将选择操作推迟到扫描完成后进行
C:\Users\Y8219\Downloads\infected2025102101\新建文件夹\点击安装简体中文包_rar.exe > RAR5 > 点击安装简体中文包.exe - Win32/TrojanDropper.Agent.SYJ 特洛伊木马 的变量 - 已删除

已扫描的对象数: 231
检测数: 11
已清除的对象数: 11

最后我个人电脑上剩余两个setup-dingt2025.EXE 和钉.办公_50067_841025.EXE

微微的笑

avast解压杀24，余12, 扫描无新增


双击后剩余5