fakeapp2x，vt首发

微微的笑

iKun通过QQ闪传分享了【2.zip】
链接：https://qfile.qq.com/q/ppYO5vqLPG
LineInstaa.exe：VT5:VirusTotal - File - e9bea573f833947f4dfc47998fac4e4ff1162eb1ca33284fcb32b4c4730382cb
LiпeIпst.exe：VT7：VirusTotal - File - 3fd5bf043fde0593bf2d72738af4af62d31eb0ee7940bf7df6ec8e07c1659fda

post88

LiпeIпst解压杀，LineInstaa 双击CC杀

微微的笑

post88 发表于 2025-11-11 18:18
LiпeIпst解压杀，LineInstaa 双击CC杀

样本加入文件夹白名单后运行，触发了CC，提示安全，我有个疑问既然加入了白名单为什么还会触发CC，那触发了CC为什么还提示安全呢

xjwtzq

奇安信扫描miss，LiпeIпst沙盘无法安装，冰盾拦截LineInstaa，绿盟落地kill

吃瓜群众第123位

360 kill all

AMD_Ryzen

BEST 双击 kill 2x

LineInstaa 安装后启动，ATC瞬间杀疯了，第一次见这么多ATC弹窗，把系统都杀了，只能强行关机，好在重启后一切正常




LiпeIпst

1. 实时防护检测到威胁。已拒绝访问该文件。C:\Windows\Installer\MSI5889.tmp 是恶意软件 Gen:Variant.Zusy.598927

复制代码

微微的笑

AMD_Ryzen 发表于 2025-11-11 19:05
BEST 双击 kill 2x

LineInstaa 安装后启动，ATC瞬间杀疯了，第一次见这么多ATC弹窗，把系统都杀了，只能 ...

怎么edge也杀了

UNknownOoo

火绒
解压清空

1. 病毒名称：Backdoor/Lotok.r!crit
   
2. 病毒ID：000C2A899ADE1ABC
   
3. 病毒路径：C:\Users\UnknownOoo\Desktop\2\LineInstaa.exe
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   

复制代码

1. 病毒名称：Trojan/BAT.Starter.ev
   
2. 病毒ID：8844B6C9B0177EC3
   
3. 病毒路径：C:\Users\UnknownOoo\Desktop\2\LiпeIпst.exe
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   

复制代码

1. 病毒名称：Trojan/Loader.ip
   
2. 病毒ID：A25CA2D8133B2F94
   
3. 病毒路径：C:\Users\UnknownOoo\Desktop\2\LiпeIпst.exe
   
4. 操作类型：修改
   
5. 操作结果：处理失败
   

复制代码

其中有个样本被多条特征检测了，所以处理失败（感觉火绒可以参考下ESET对多重检测的处理？）

Rukia

微微的笑 发表于 2025-11-11 20:11
怎么edge也杀了

进程注入

AMD_Ryzen

微微的笑 发表于 2025-11-11 20:11
怎么edge也杀了

嗯对的，是进程注入，包括svchost也是被注入才被杀的，正好截图没截到注入事件