1X

微微的笑

结果
找到的有害项目：1
已扫描项目：2
有害项目：
HEUR/APC.AVADL
C:\Users\Administrator\Downloads\Bitbrowser\Bitbrowser.exe - 已隔离

LingGao

Microsoft Defender 不杀。

已提交分析，微软研究员分析结果：
“vally3dka.sys”
Trojan:Win64/Malgent!MSR

下次更新时加入病毒库。

wowocock

1，vally3dka.sys
为ZAM漏洞驱动，通过ZwTerminateProcess杀掉杀软进程
2.vmservice.sys
把 C:\\ProgramData\\DiamondAge\\diamondage.dll ，注入到explorer.exe ，taskmgr.exe， perfmon.exe
创建进程对象回调保护木马进程 diamondage.exe
3，MiniFilterDrv
木马微过滤驱动，挂接Create和SetInformation的前操作
禁止打开木马文件及所在目录，保护木马文件。
同时利用WDAC，拦截杀软模块加载。
其中360，腾讯的根据产品信息禁止，其他的根据签名禁止。导致安全软件模块无法加载。
<FileRules>
<Deny ID="ID_DENY_D_0001" FilePath="%OSDRIVE%\Program Files\360\360sd"/>
<Deny ID="ID_DENY_D_0002" ProductName="360壁纸"/>
<Deny ID="ID_DENY_D_0003" ProductName="360安全卫士"/>
<Deny ID="ID_DENY_D_0004" ProductName="360安全卫士 主程序模块"/>
<Deny ID="ID_DENY_D_0005" ProductName="Kingsoft Internet Security"/>
<Deny ID="ID_DENY_D_0006" ProductName="腾讯电脑管家"/>
<Deny ID="ID_DENY_D_0007" FileDescription="360杀毒 主程序"/>
<Deny ID="ID_DENY_D_0008" FileName="360sdrun.exe" FileDescription="360杀毒 启动程序"/>
<Deny ID="ID_DENY_D_0009" FileName="sesvc.exe"/>
<Allow ID="ID_ALLOW_A_000A" FileName="*"/>
<Allow ID="ID_ALLOW_A_000B" FileName="*"/>
</FileRules>
<Signers>
<Signer Name="Signer 1" ID="ID_SIGNER_S_0001">
<CertRoot Type="TBS" Value="11533EFD6B326A4E065A936DE300FE0586A479F93D569D2403BD62C7AD35F1B2199DAEE3ADB510F429C4FC97B4B024E3"/>
<CertPublisher Value="ESET, spol. s r.o."/>
</Signer>
<Signer Name="Signer 2" ID="ID_SIGNER_S_0002">
<CertRoot Type="TBS" Value="A565BE97BE723FD92B3936963A90769DFFFB0504D123745C7659FD4B6CF9408F"/>
<CertPublisher Value="ESET, spol. s r.o."/>
</Signer>
<Signer Name="Signer 3" ID="ID_SIGNER_S_0003">
<CertRoot Type="TBS" Value="65B1D4076A89AE273F57E6EEEDECB3EAE129B4168F76FA7671914CDF461D542255C59D9B85B916AE0CA6FC0FCF7A8E64"/>
<CertPublisher Value="Trend Micro, Inc."/>
</Signer>
<Signer Name="Signer 4" ID="ID_SIGNER_S_0004">
<CertRoot Type="TBS" Value="9F69FF166F5DC446578A45D7D69482373755E141"/>
<CertPublisher Value="NortonLifeLock Inc."/>
</Signer>
<Signer Name="Signer 5" ID="ID_SIGNER_S_0005">
<CertRoot Type="TBS" Value="E767799478F64A34B3F53FF3BB9057FE1768F4AB178041B0DCC0FF1E210CBA65"/>
<CertPublisher Value="NortonLifeLock Inc."/>
</Signer>
<Signer Name="Signer 6" ID="ID_SIGNER_S_0006">
<CertRoot Type="TBS" Value="FEC727AF43D1569995CEA26E8EB97167165842A5B185304425A92C03B71254C5D51222837515F33E60CB8ED2E8C625BA"/>
<CertPublisher Value="AO Kaspersky Lab"/>
</Signer>
<Signer Name="Signer 7" ID="ID_SIGNER_S_0007">
<CertRoot Type="TBS" Value="D02AD42E17886FA9CB1193A57707D86F7387E8ED5B672B15034F40B40DB6DA92"/>
<CertPublisher Value="Kaspersky Lab"/>
</Signer>
<Signer Name="Signer 8" ID="ID_SIGNER_S_0008">
<CertRoot Type="TBS" Value="A229D2722BC6091D73B1D979B81088C977CB028A6F7CBF264BB81D5CC8F099F87D7C296E48BF09D7EBE275F5498661A4"/>
<CertPublisher Value="Avira Operations GmbH"/>
</Signer>
<Signer Name="Signer 9" ID="ID_SIGNER_S_0009">
<CertRoot Type="TBS" Value="A229D2722BC6091D73B1D979B81088C977CB028A6F7CBF264BB81D5CC8F099F87D7C296E48BF09D7EBE275F5498661A4"/>
<CertPublisher Value="北京火绒网络科技有限公司"/>
</Signer>
</Signers>
中毒后，安全软件无法打开运行的，可以去火绒论坛找客服要无签名的火绒恶意木马专杀查杀后重启即可。

啊松

wowocock 发表于 2025-12-30 10:30
1，vally3dka.sys
为ZAM漏洞驱动，通过ZwTerminateProcess杀掉杀软进程
2.vmservice.sys

话说，为啥会蓝屏的？这是什么原理

wowocock

啊松 发表于 2025-12-30 11:41
话说，为啥会蓝屏的？这是什么原理

本地测试没有蓝屏，你把蓝屏DUMP发过来看看。

post88

avast 杀sys

biue

腾讯电脑管家 2X