解压缩后出现了bug
本帖最后由 ninjagaocc 于 2024-10-28 15:47 编辑目前已经尝试了补救措施(已打开系统自带的windows defender进行快速扫描),防护级别均被调高。
具体症状如下
症状1:文件监控被关闭(已无法打开)
症状2:一直弹出“请先处理发现的病毒字样的对话框”
症状3:无法使用全盘扫描
症状4:使用快速查杀会显示病毒名称,自定义扫描则显示未发现威胁(两者扫描完成后均会弹出“请先处理发现病毒的对话框”)
病毒样本↓
https://pan.huang1111.cn/s/RYd32SBhttps://x.ws59.cn/f/fbk6bpt5019 https://wwzq.lanzouq.com/iCUlz2cil3fc https://homeserver.iepose.cn/dow ... 139C296752A3ABA.zip
压缩包密码:infected
如果样本中包含.ps1文件(Powershell脚本),则需要手动打开cmd.exe输入以下指令允许运行ps1脚本:
Powershell.exe Set-ExecutionPolicy Bypass
本帖最后由 ninjagaocc 于 2024-10-14 23:04 编辑
重启后,瑞星防病毒安全软件的各项功能均恢复正常。(重启前,无法使用全盘扫描功能)
估计是解压缩后,主防清除病毒时触发了bug
日志已全部导出
关于病毒详情的日志 只能找到10月11日的日志,今天的日志是空的(估计是触发了bug所以没有被保存)
病毒详情表
筛选条件,时间:全部,发现源:全部,处理方式:全部,事件号:全部
序号,处理时间,文件路径,病毒名称,扫描事件,事件号,威胁类型,状态,父进程
1,2024-10-11 12:40:42,C:\USERS\NICH0\DESKTOP\5X(24-10-10)\SETUP13.EXE,Trojan.PoolInject!8.1A56D,文件监控,341628C0,木马,删除成功
2,2024-10-11 12:40:42,C:\USERS\NICH0\DESKTOP\5X(24-10-10)\XWPS.EXE,Downloader.Agent!8.B23,文件监控,341628C0,木马,删除成功
3,2024-10-11 12:40:42,C:\USERS\NICH0\DESKTOP\5X(24-10-10)\查-看SETUPPDF-INSTALL.EXE,Trojan.PoolInject!8.1A56D,文件监控,341628C0,木马,删除成功
4,2024-10-11 12:40:42,C:\USERS\NICH0\DESKTOP\5X(24-10-10)\SETUPD.3.EXE,Trojan.Malgent!8.10C33,文件监控,341628C0,木马,删除成功
5,2024-10-11 12:40:42,C:\USERS\NICH0\DESKTOP\5X(24-10-10)\IMAGE-2.EXE,Trojan.ShellCode!8.197DC,文件监控,341628C0,木马,删除成功
扫描事件表
筛选条件,时间:全部,来源:全部
序号,开始时间,事件来源,事件,事件号,状态,扫描文件数,文件威胁数,文件威胁处理数,对象数,对象威胁数,对象威胁处理数,用时
1,2024-10-14 19:33:06,用户启动,自定义查杀,82E994FC,扫描结束,372655,0,0,420972,0,0,02:12:11
2,2024-10-14 18:31:17,用户启动,全盘查杀,452E511,全盘查杀完成,423377,0,0,436953,0,0,01:00:34
3,2024-10-13 20:53:48,用户启动,全盘查杀,8FF719B7,扫描结束,0,0,0,0,0,0,00:00:00
4,2024-10-13 20:48:57,用户启动,快速查杀,935280CF,扫描结束,16030,0,0,18612,0,0,00:04:36
5,2024-10-12 16:09:29,用户启动,自定义查杀,408AF247,扫描结束,104,0,0,106,0,0,00:00:19
补发一下触发bug前的情况 目前未见明显异常 抱歉 ninjagaocc,此问题测试未复现,怀疑是偶发的进程崩溃。如果你那边还能复现,欢迎联系我们,让工程师远程看看吧 麦青儿 发表于 2024-10-28 15:37
抱歉 ninjagaocc,此问题测试未复现,怀疑是偶发的进程崩溃。如果你那边还能复现,欢迎联系我们,让工程师 ...
应该是小概率的bug,实际上并未被病毒感染 ninjagaocc 发表于 2024-10-28 15:39
应该是小概率的bug,实际上并未被病毒感染
好
页:
[1]