FakeAPP 1x

驭龙

aboringman 发表于 2025-11-21 22:27
ESET：0

运行，跟其他人一样也是疯狂弹CMD窗口，消停之后手动触发白加黑，得

ESET内存防护永远的痛，只能发现威胁，无法完全搞定，这也是官方说的内存扫描是最后防线，但我觉得这只是个报警器，告诉我们该重新安装系统了。

hansyu

驭龙 发表于 2025-11-21 22:34
ESET内存防护永远的痛，只能发现威胁，无法完全搞定，这也是官方说的内存扫描是最后防线，但我觉得这只是 ...

ESET已经终止关健线程，我记得很久以前测试的时候也是这样，如果没记错的话，虽然显示连接，但是已经不再传输数据。

驭龙

hansyu 发表于 2025-11-21 22:45
ESET已经终止关健线程，我记得很久以前测试的时候也是这样，如果没记错的话，虽然显示连接，但是已经不再 ...

不算完全阻止，因为只是在内存阻止执行，文件还在本地，如果有可持续化的部分，就依然无限恶性循环的报下去

tony099

aboringman 发表于 2025-11-21 22:27
ESET：0

运行，跟其他人一样也是疯狂弹CMD窗口，消停之后手动触发白加黑，得

时间;对象名称;大小;原因;计数;用户帐户;哈希
2025/11/21 23:09:18;C:\Users\35987\Desktop\HuorongSysDiagPro_v1763716728.412156\HuorongSysDiagPro_v1763716728.412156.msi;158.6 MB;Win64/Agent.HPQ 特洛伊木马 的变量;1;DESKTOP-L225MQV\35987;D128ABFEB91EE676D8929283BA1F48D862C42A6E

aboringman

tony099 发表于 2025-11-21 23:10
时间;对象名称;大小;原因;计数;用户帐户;哈希
2025/11/21 23:09:18;C:%users\35987\Desktop\HuorongSysD ...

我知道，应该是刚才的自动上报或者我报上去的，复测的时候已经发现从Suspicious Object转这个毒名了。

hansyu

驭龙 发表于 2025-11-21 23:03
不算完全阻止，因为只是在内存阻止执行，文件还在本地，如果有可持续化的部分，就依然无限恶性循环的报下 ...

确实是没有彻底清理，但是检出包含木马特征的线程已经暂停，失去作用。可以用process explorer看到这个处理结果。

当然个人来说还是希望连带文件一起清除，不过考虑到ESET的一贯做法是不太可能实现。

Curve25519

aboringman 发表于 2025-11-21 22:27
ESET：0

运行，跟其他人一样也是疯狂弹CMD窗口，消停之后手动触发白加黑，得

右键扫描 kill，沙盘中运行，监控 kill 1 dll，没有任何 CMD 窗口弹出

扫描日志
检测引擎的版本: 32230 (20251121)
日期: 2025/11/21  时间: 23:14:40
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\HuorongSysDiagPro_v1763716728.412156\HuorongSysDiagPro_v1763716728.412156.msi
用户: DESKTOP-K07940I\Admin
W:\Sandbox\Admin\DefaultBox\drive\W\HuorongSysDiagPro_v1763716728.412156\HuorongSysDiagPro_v1763716728.412156.msi > MSI > disk1.cab > CAB > pyenv.exe > WIXSFX > 0002.cab > CAB > a8 > MSI > cab1.cab > CAB > Lib_test_zipimport_data_sparse_zip64_c0_0x000000000.part > ZIP > data1 - 压缩文件已损坏 － 文件无法解压。
W:\Sandbox\Admin\DefaultBox\drive\W\HuorongSysDiagPro_v1763716728.412156\HuorongSysDiagPro_v1763716728.412156.msi > MSI > disk1.cab > CAB > pyenv.exe > WIXSFX > 0002.cab > CAB > a8 > MSI > cab1.cab > CAB > Lib_test_zipimport_data_sparse_zip64_c0_0x000000000.part > ZIP >  - 压缩文件已损坏
W:\Sandbox\Admin\DefaultBox\drive\W\HuorongSysDiagPro_v1763716728.412156\HuorongSysDiagPro_v1763716728.412156.msi > MSI > disk1.cab > CAB > hallclientBase.dll - Win64/Agent.HPQ 特洛伊木马 的变量 - 已保留
已扫描的对象数: 46485
检测数: 1
已清除的对象数: 0
完成时间: 23:14:59  总扫描时间: 19 秒 (00:00:19)

2025/11/21 23:16:39;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\user\current\AppData\Roaming\GHvuasdgxx\HuorongSysDiagPro_v1763716728.412156\hallclientBase.dll;Win64/Agent.HPQ 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Windows\System32\msiexec.exe (5FF322CEBF40A3ACC4351A92B734E0F1AD9448C5).;54EFC7C8679C80B0B58BF6E2108C39A02B2C2BF0;2025/11/21 17:18:48;S-1-5-21-1216372390-1976424117-2270819850-1001;

驭龙

hansyu 发表于 2025-11-21 23:13
确实是没有彻底清理，但是检出包含木马特征的线程已经暂停，失去作用。可以用process explorer看到这个处 ...

那我11楼说的也没问题，不是吗？我是说内存防护，也就是AMS无法完全搞定，并不是说被该（打错字了，是被过）啊，只是无法清除本体，怕持续化操作。

不过话说，ESET的遥测好像响应速度真的不错了，感觉有一点卡巴PDM的味道？

awsl10000次

驭龙 发表于 2025-11-21 23:22
那我11楼说的也没问题，不是吗？我是说内存防护，也就是AMS无法完全搞定，并不是说被该啊，只是无法清除 ...

有可能比卡巴快（
现在卡巴的pdm联动很薛定谔
还是上次我发的链接https://opentip.kaspersky.com/77198A3AFC040D39CBFA126C674E091134776604FAE70DF0A89C599D06ED795D/results?tab=upload
又过去好几天，op红，上面有一条主防报法记录
然后没人搭理，没加特征，也没云拉黑（）
就这么放着

驭龙

awsl10000次 发表于 2025-11-21 23:49
有可能比卡巴快（
现在卡巴的pdm联动很薛定谔
还是上次我发的链接https://opentip.kaspersky.com/77198 ...

ESET现在响应速度是真的不错，有的样本过一会就拉黑SO杀了，虽然不是都这样，但有一部分确实是很快就拉黑了，效果感觉比几年前好很多。