FakeAPP系列

hsks

https://qfile.qq.com/q/uMydZ1fv4k

飞翔的蒲公英

这也……太大了其余下载到一半失败了，就下载成功一个，后面再补……
火绒6.0：扫描20个威胁，实际处理19个样本，剩余11个，

绿盟（江民EDR）：
扫描20个威胁，实际处理19个样本，剩余11个。

压缩的时空

28x：

1. <font size="1">病毒库时间：2025-12-31 18:43
   
2. 开始时间：2026-01-01 10:13
   
3. 执行类型：手动执行
   
4. 扫描类型：自定义扫描
   
5. 总计用时：00:01:25
   
6. 扫描对象：14653
   
7. 扫描文件：28
   
8. 发现风险：21
   
9. 已处理风险：21
   
10. 病毒详情：
    
11. 风险路径：C:\Users\user\Desktop\28X\asn.865634004.exe, 病毒名：Trojan/Injector.c!crit, 病毒ID：434e9e374546a127, 处理结果：已处理，删除文件
    
12. 风险路径：C:\Users\user\Desktop\28X\Bsso_ldplayer9_ld_407585_ld_waszunv_ybvdesx.exe >> [NSIS].nsi, 病毒名：Trojan/FakeApp.wk, 病毒ID：d1fec0d5aa6e9965, 处理结果：已处理，删除文件
    
13. 风险路径：C:\Users\user\Desktop\28X\AweSun_yuancheng_x64.1.8.exe >> [NSIS].nsi, 病毒名：HEUR:Trojan/FakeApp.ao, 病毒ID：2534c6f59917704d, 处理结果：已处理，删除文件
    
14. 风险路径：C:\Users\user\Desktop\28X\googlo_Intelestersr_21.16.56.msi, 病毒名：TrojanDropper/Agent.ajs, 病毒ID：fd8c6b813f97951c, 处理结果：已处理，删除文件
    
15. 风险路径：C:\Users\user\Desktop\28X\dfndfjdjsdrtj (9).exe, 病毒名：Trojan/FakeApp.wx, 病毒ID：b8167848a8b20764, 处理结果：已处理，删除文件
    
16. 风险路径：C:\Users\user\Desktop\28X\googlo_Intelestersr_21.26.16.msi, 病毒名：HEUR:TrojanDropper/Agent.am, 病毒ID：d0af5df2f19e7228, 处理结果：已处理，删除文件
    
17. 风险路径：C:\Users\user\Desktop\28X\BitBrowser_x64111.exe >> [NSIS].nsi, 病毒名：Trojan/FakeApp.aao, 病毒ID：c78f736638dce4da, 处理结果：已处理，删除文件
    
18. 风险路径：C:\Users\user\Desktop\28X\KUGOUYINYUE1029.exe, 病毒名：Trojan/FakeApp.aaq, 病毒ID：58434fdbed43087c, 处理结果：已处理，删除文件
    
19. 风险路径：C:\Users\user\Desktop\28X\leietebcipc_kl-64.exe >> [NSIS].nsi, 病毒名：HEUR:Trojan/FakeApp.ao, 病毒ID：2534c6f59917704d, 处理结果：已处理，删除文件
    
20. 风险路径：C:\Users\user\Desktop\28X\Lets-2025.exe >> cef_frame.dll, 病毒名：Backdoor/Lotok.nw, 病毒ID：17bebc5599dc90b2, 处理结果：已处理，删除文件
    
21. 风险路径：C:\Users\user\Desktop\28X\MuLMLk1nicCZmYC.exe >> Ikkhkp_2025.12.30_16.52.29_SETUP.exe, 病毒名：TrojanDropper/Agent.aji, 病毒ID：5dfea8f6cc6e18b7, 处理结果：已处理，删除文件
    
22. 风险路径：C:\Users\user\Desktop\28X\googlo_Intelestersr_21.26.16.msi >> payertssupeke25.exe, 病毒名：HVM:Trojan/ShellLoader.bs, 病毒ID：521488ea5807b323, 处理结果：已处理，删除文件
    
23. 风险路径：C:\Users\user\Desktop\28X\sluvou_pinyin5.023.exe, 病毒名：HVM:Backdoor/Lotok.cf, 病毒ID：f75ec95ed4b0ce09, 处理结果：已处理，删除文件
    
24. 风险路径：C:\Users\user\Desktop\28X\shurufa15.12.msi, 病毒名：TrojanDropper/Agent.ajt, 病毒ID：c25bb2c40f870b70, 处理结果：已处理，删除文件
    
25. 风险路径：C:\Users\user\Desktop\28X\wang-2025102908.exe, 病毒名：Trojan/FakeApp.aa!crit, 病毒ID：7bfc6c04b3f30e7e, 处理结果：已处理，删除文件
    
26. 风险路径：C:\Users\user\Desktop\28X\soSgooul.7.1.1sxe.exe, 病毒名：TrojanDropper/Agent.ac!crit, 病毒ID：32570e3b53ba6ffb, 处理结果：已处理，删除文件
    
27. 风险路径：C:\Users\user\Desktop\28X\whahgadcmuweap.msi, 病毒名：Trojan/FakeApp.xn, 病毒ID：a75fc36a36ff5372, 处理结果：已处理，删除文件
    
28. 风险路径：C:\Users\user\Desktop\28X\ZH_latest[过滤].exe >> [NSIS].nsi, 病毒名：Trojan/FakeApp.aao, 病毒ID：c78f736638dce4da, 处理结果：已处理，删除文件
    
29. 风险路径：C:\Users\user\Desktop\28X\元气壁纸.exe, 病毒名：Trojan/FakeApp.rh, 病毒ID：a0ed04b2a1e4ca55, 处理结果：已处理，删除文件
    
30. 风险路径：C:\Users\user\Desktop\28X\WPS_Setup_24023.exe, 病毒名：HVM:Backdoor/Lotok.ce, 病毒ID：36ca137df6e84d80, 处理结果：已处理，删除文件
    
31. 风险路径：C:\Users\user\Desktop\28X\YoudaoDictAppG_X64_rrww_25.12.31.msi, 病毒名：TrojanDropper/Agent.ajs, 病毒ID：fd8c6b813f97951c, 处理结果：已处理，删除文件</font>
    

复制代码

行为监控kill1x

1. 病毒名称：TrojanDropper/MalSetup.P
   
2. 病毒路径：C:\Users\user\Desktop\28X\Youdao_Build_Version_8.8.exe
   
3. 操作结果：已处理，删除文件
   
4. 
   
5. 进程ID：10304
   
6. 操作进程命令行："C:\Users\user\Desktop\28X\Youdao_Build_Version_8.8.exe"
   
7. 父进程ID：5728
   
8. 父进程：C:\Windows\explorer.exe
   
9. 父进程命令行：C:\WINDOWS\Explorer.EXE

复制代码

双击测试：

1. <font size="1">病毒名称：Backdoor/Lotok.ei
   
2. 病毒ID：DFC147455ACD4B43
   
3. 虚拟地址：0x0000000002830000
   
4. 映像大小：296KB
   
5. 是否完整映像：否
   
6. 数据流哈希：5db93918
   
7. 操作结果：处理成功，进程已结束
   
8. 进程ID：4584
   
9. 操作进程：C:\ProgramData\CfServerSoftwareDistribution\MpCopy.exe
   
10. 操作进程命令行："C:\ProgramData\CfServerSoftwareDistribution\MpCopy.exe"
    
11. 父进程ID：1792
    
12. 父进程：C:\Windows\System32\svchost.exe
    
13. 父进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule</font>

复制代码

1. <font size="1">病毒名称：Trojan/ShellLoader.agv
   
2. 病毒ID：2A2AEF47D24A2B0F
   
3. 病毒路径：C:\Users\user\AppData\Roaming\GHvuasdgxx\chormeSteups_win8-11_v1767153010.3354287\hallclientBase.dll
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   
6. 
   
7. 进程ID：10692
   
8. 操作进程：C:\Windows\System32\msiexec.exe
   
9. 操作进程命令行：C:\WINDOWS\system32\msiexec.exe /V
   
10. 父进程ID：808
    
11. 父进程：C:\Windows\System32\services.exe</font>

复制代码

1. 风险分类：木马盗号
   
2. 访问网址：dgj.q921lv.com
   
3. 操作结果：已阻止
   
4. 
   
5. 进程ID：2216
   
6. 操作进程：C:\Windows\System32\svchost.exe
   
7. 操作进程命令行：C:\WINDOWS\system32\svchost.exe -k NetworkService -p

复制代码

1. 病毒名称：Trojan/Generic!D3098383711C3082
   
2. 病毒ID：D3098383711C3082
   
3. 病毒路径：C:\Users\user\AppData\Roaming\GHvuasdgxx\safe_w_win7-win11_v1767152656.2943976\hallclientBase.dll
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   
6. 
   
7. 进程ID：4364
   
8. 操作进程：C:\Windows\System32\msiexec.exe
   
9. 操作进程命令行：C:\WINDOWS\system32\msiexec.exe /V
   
10. 父进程ID：808
    
11. 父进程：C:\Windows\System32\services.exe

复制代码

1. 病毒名称：Trojan/BAT.Runner.bb
   
2. 病毒ID：272CB3311FB46AEA
   
3. 病毒路径：C:\Windows\zQoPJDnIu.bat
   
4. 操作类型：执行
   
5. 操作结果：已处理，删除文件
   
6. 
   
7. 进程ID：11360
   
8. 操作进程：C:\Windows\System32\cmd.exe
   
9. 操作进程命令行：cmd.exe /c C:\Windows\zQoPJDnIu.bat
   
10. 父进程ID：9352
    
11. 父进程：C:\Program Files (x86)\Microsoft\Edge\Application\138.0.3351.95\elevation_service.exe

复制代码

小猛蚁

kes扫描实际删除97个

UNknownOoo

火绒
扫描：133x，处理后剩下46x

22222221

28x ESET+hmpa
前面几个那是杀的毫无压力
结果差点被最后一个挑翻了
ESET先拦截加驱动




提示重启清除，其实这时候衍生物都被扫干净了……

没错 被WDAC阻止运行了），不过衍生物请干净了，只留下了这个策略
这倒是提醒我要写个规则防止WDAC策略禁止杀软运行了