1   1  /  1  页   跳转

疑似Blackball

收藏
本主题由 开发团队 XywCloud 于 2021-6-30 9:30:02 执行 移动主题 操作
AK2019
头像
快乐黄口狮
  • 帖子:215
  • 注册: 2019-12-12
  • 来自:
发表于: 2021-06-30 07:23 | 显示全部 短消息 资料
字号: 1楼

疑似Blackball

实际上机排查的东西,导出的异常计划任务。火绒直接杀了,365没杀,是不是应该杀了?

根据微步情报找到的相关样本分析:https://guanjia.qq.com/news/n1/2571.html

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 
AK2019
头像
快乐黄口狮
  • 帖子:215
  • 注册: 2019-12-12
  • 来自:
发表于: 2021-06-30 10:06 | 显示全部 短消息 资料
字号: 2楼

回复:疑似Blackball

那对于已经感染的系统,计划任务不删掉吗?不删的话那不是过段时间又开始下载了?
我这台机器重启前IDS检测发现有非法外联,重启后就暂时没了,火绒一扫只有计划任务,那瑞星要是不杀的话,问题也不算彻底解决吧?(火绒扫出9个威胁,3个sched://,3个wmicmdln://,还有下图,保存出来了下图这部分,ESM365未扫出结果)

话说wmicmdln://是个什么东西…


 附件: 您所在的用户组无法下载或查看附件
最后编辑AK2019 最后编辑于 2021-06-30 10:12:49
gototop
 
AK2019
头像
快乐黄口狮
  • 帖子:215
  • 注册: 2019-12-12
  • 来自:
发表于: 2021-07-01 11:21 | 显示全部 短消息 资料
字号: 3楼

回复:疑似Blackball

那个机器我还没装esm试,因为是别人的不能随便搞
ESM扫描不扫启动项和计划任务吗?我就是把他们都拷出来了,365是不杀的,这个明知道是有问题的计划任务也不做处理,只有本地触发了才处理吗?如果不开文件监控,那不就可能漏掉了
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT