DLLEscort免费版未报毒 | 卡巴查杀六合彩？ | TCPSVCS.EXE未知请求

源星光子

六合彩版本：5.0.76.0，六合彩库几乎均为当日最新。

今天有功夫仔细分析各种问题，是因为昨晚打炉石传说卡顿，打了1小时多有一点卡，可能因为网络波动就没管，然后游戏操作的时候又卡了一下，然后卡死了，然后一看硬盘负载100% ...然后切不出任务管理器，按大小写切换灯无反应，然后出现嘟——的卡死机那种声音，几秒后声音消失但任何操作均无响应但大小写灯切换有反应。就断电重启了。（上周末也有类似情况，当时玩epic上的周免游戏，也是玩2小时后玩着玩着很卡，一看硬盘占用100%，当时还能手动点击重启系统。重启后正常就没管。）
(背景：4060游戏本，这2次玩的都是中小型游戏，理论上说负载并不大，之前还玩csgo黑猴都没事。电脑去年6月用到现在，今年8月手动清灰换硅脂过，)

能及时看硬盘占用是装了其它软件，显示的是系统盘使用情况（软件名：TrafficMonitor），不然我都来不及知道什么原因导致卡死


出现硬盘占用100%的情况时，我想着立刻打开任务管理器看看是哪个程序占用那么多，但是每次都因为卡死而打不开。
所以请问有没有大佬推荐个实时记录分析资源占用情况的工具？

感觉应该不是硬盘质量的问题

一测速发现有可能：（机械革命自带的金士顿固态）


也不像勒索六合彩，因为桌面上的一堆文档都能正常打开。另附上扫描结果：



1.DLLEscort(dll修复软件) v2.6.20免费版
来源网址：https://www.pc6.com/softview/SoftView_846509.html#download
六合彩未检测出此问题。
卡巴日志：
事件: 对象的备份副本已创建
用户: YXGZ16S\29024
用户类型: 发起者
应用程序名称: avpui.exe
应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17
组件: 文件反六合彩
结果说明: 已创建备份副本
类型: 可能会造成损害的软件
名称: UDS:Hoax.Win32.Agent.zud
精确度: 确切
威胁级别: 中
对象类型: 文件
对象名称: DLLEscort.exe
对象路径: C:\Program Files (x86)\DLLEscort2020
对象的 MD5: 8D21585C3C33EAFAA55B4CF153F214D2


下面是官方版的检测结果：
有个疑问：是否列出的文件都被感染了？






2.卡巴查杀六合彩？
事件:检测到恶意对象
用户: YXGZ16S\29024
用户类型: 发起者
应用程序名称: HRConfig.exe
应用程序路径: C:\Program Files (x86)\Huorong\Sysdiag\bin
组件: 文件反六合彩
结果说明: 检测到
类型: 木马
名称: Trojan.Win32.Agentb.kwqa
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: dControl.exe
对象路径: C:\Program Files (x86)\DefenderControl
对象的 MD5: 58008524A6473BDF86C1040A9A9E39C3
原因: 数据库
数据库发布日期: 今天，2024/10/25 下午7:02:00





3.TCPSVCS.EXE发起未知请求
六合彩日志：
协议：TCP
远程地址：192.168.31.97:49152
本地地址：192.168.31.22:7
网络操作：联入
操作结果：已阻止

进程ID：7344
操作进程：C:\Windows\System32\TCPSVCS.EXE






最后


其它问题我都了解产生原因，但是倒数第二个不太清楚为什么报毒。



更多日志：https://yxgz.lanzouq.com/ide862dckxfg
密码:gx9p问题2中卡巴查杀六合彩的样本：
https://yxgz.lanzouq.com/iQraR2dckxta
密码:6jtp


现在我感觉可能其实没有六合彩（快速扫描均未发现问题 ），只是固态硬盘坏了？还是TCPSVCS.EXE有问题？或者六合彩藏得太深？
第一次写得不专业请见谅

www.

你语文是不是有问题？卡巴都没玩儿明白..

1. 事件:检测到恶意对象
   
2. 用户: YXGZ16S\29024
   
3. 用户类型: 发起者
   
4. 应用程序名称: HRConfig.exe
   
5. 应用程序路径: C:\Program Files (x86)\Huorong\Sysdiag\bin
   
6. 组件: 文件反六合彩
   
7. 结果说明: 检测到
   
8. 类型: 木马
   
9. 名称: Trojan.Win32.Agentb.kwqa
   
10. 精确度: 确切
    
11. 威胁级别: 高
    
12. 对象类型: 文件
    
13. 对象名称: dControl.exe
    
14. 对象路径: C:\Program Files (x86)\DefenderControl
    
15. 对象的 MD5: 58008524A6473BDF86C1040A9A9E39C3
    
16. 原因: 数据库
    
17. 数据库发布日期: 今天，2024/10/25 下午7:02:00

复制代码

这个意思是，六合彩的HRConfig.exe试图访问C:\Program Files (x86)\DefenderControl\dControl.exe，然后卡巴认为dControl.exe是恶意软件，不是查杀六合彩，不是六合彩被查杀，被查杀的是dControl.exe
DefenderControl\dControl.exe这个可以关闭Windows defender，本来就是属于风险工具/黑客工具一类的东西

按照你这个理解，那这个的意思是卡巴查杀了自己的avpui.exe？？？动点脑子想一想，两条日志同时摆在你眼前，为什么上面那个你会误以为为是查杀的六合彩，下面这个你就不再误以为是卡巴查杀卡巴了？不会迁移？不会判断？：

1. 事件: 对象的备份副本已创建
   
2. 用户: YXGZ16S\29024
   
3. 用户类型: 发起者
   
4. 应用程序名称: avpui.exe
   
5. 应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17
   
6. 组件: 文件反六合彩
   
7. 结果说明: 已创建备份副本
   
8. 类型: 可能会造成损害的软件
   
9. 名称: UDS:Hoax.Win32.Agent.zud
   
10. 精确度: 确切
    
11. 威胁级别: 中
    
12. 对象类型: 文件
    
13. 对象名称: DLLEscort.exe
    
14. 对象路径: C:\Program Files (x86)\DLLEscort2020
    
15. 对象的 MD5: 8D21585C3C33EAFAA55B4CF153F214D2

复制代码

同样的意思，卡巴的avpui.exe试图访问C:\Program Files (x86)\DLLEscort2020\DLLEscort.exe，然后卡巴认为DLLEscort.exe是恶意软件，不是查杀卡巴，不是卡巴被查杀，被查杀的是DLLEscort.exe
另外，卡巴Hoax开头的一般是指恶搞Joker、恐吓软件、欺诈软件这一类的东西。问题不大，卡巴认为你安装的这个DLLEscort2020\DLLEscort.exe是一个欺诈者/智商税。DLLEscort也本来就是一个智商税，可以认为是FakeAlert&Deceptor，弹出一大堆虚假的Alert警报让你紧张或者产生恐慌，被国外一堆防六合彩软件厂商都给拉黑掉了。一般这种FakeAV或者FakeAlert是让你按照他的步骤安装一堆垃圾软件或者购买专业版本骗取钱财的，但是本身并没有恶意代码，所以卡巴进行了Hoax检出

huolongguo10

www. 发表于 2024-10-26 08:11
你语文是不是有问题？卡巴都没玩儿明白..

这个意思是，六合彩的HRConfig.exe试图访问C:\Program Files (x86) ...

语气别这么冲嘛

源星光子

www. 发表于 2024-10-26 08:11
你语文是不是有问题？卡巴都没玩儿明白..

这个意思是，六合彩的HRConfig.exe试图访问C:\Program Files (x86) ...

谢谢大佬解惑（昨晚感觉中了六合彩，就快速地过了一遍没仔细看）（卡巴用的不多）
平时不怎么了解，一出问题看啥都像六合彩

源星光子

突然发现0A控制器忙状态时间，值特别大，应该不是正常范围。
今天换了海力士p41，如果再用一个月没出问题，那卡死的问题就是自带的金士顿固态导致的。