flyzy博客
https://wwa.lanzous.com/iUilOoahljg
传个上来给大家看看
别点开哈。公司里的销售,被同行搞了。
真的好多人一点电脑基础都没有的…啥都不知道,直接点开。也是厉害。
他点开后我看了眼,任务管理器无异常,也就没管他。
没想到潜伏几天,今天电脑就被控制了。
https://r.virscan.org/language/zh-cn/report/021fc97664440bfec9fe63dac1ffea85
扫描结果:0%的杀毒软件(0/50)报告发现病毒
还挺厉害,免杀的。
想拖到虚拟机看一下,结果不给虚拟机玩。难受。
闲置硬盘在老家,不然整个玩一玩。
明天去公司。我只能用IP雷达之类的看网络链接,也没其他好法子…
找不到就重做系统咯
loc大神多,看看有没有更好的法子
吉林省网友说:这么晚就不做逆向了,随便在anyrun里面跑了下
运行释放两个文件
C:\Windows\SysWOW64\Dtldt.exe
C:\Users\admin\Desktopwegejwgewew.exe
会改注册表
HKEY_LOCAL_MACHINE\SYSTEM\Select
HKEY_USERS\.DEFAULT\Software\Microsoft\ActiveMovie\devenum
会连域名huweihong.net, ip是206.119.81.199:8081
可能沙盒是美国ip,所以没办法下载剩下的恶意代码
具体的请看附件
甘肃省网友说:看下自动启动进程,应该有,如果没有的话重启一下他就GG…
湖北省网友说:能让你骂人的 应该不是女的
河北省网友说:我就担心是注册表啥的。
是win10的,任务管理器-启动里面看吗
果然还是集思广益好,我就没想到这点,哈哈
江西省网友说:那肯定不是女的。不过女的也骂
黑龙江省网友说:拖到IDA里分析分析,另外这个检测虚拟机,可以换个过检测的虚拟机系统,我看你有吾爱的OD 可以去吾爱找个过检测虚拟机系统就可以调试了
吉林省网友说:那不一定,都能做到禁止虚拟机运行,那也可能伪装某一个系统服务,常驻系统
云南省网友说:检测虚拟机是加了SE的壳子,壳子检测的。
黑龙江省网友说:我用的过检测的虚拟机,52专用
https://www.52pojie.cn/thread-341238-1-1.html
还是不行
截图是我之前用的普通虚拟机。不行我才换52的,也不行
河北省网友说:你应该发到52去让大佬 给他扒皮
安徽省网友说:火绒的火绒剑分析下?
江西省网友说:吾爱的虚拟机不行的,他论坛里有过检测的虚拟机系统,不过你要不是玩破解的,也没必要去专门装。发到吾爱悬赏区,请专业人士分析分析 哈哈哈
江西省网友说:直接海内存知己
黑龙江省网友说:52禁止发这种吧…
已经禁止伸手了哈哈
江苏省网友说:大佬回答,zsbd
甘肃省网友说:大蜘蛛扫描器,专治疑难杂症
https://free.drweb.cn/cureit/updating/
台湾省网友说:免杀吗? 解压就报毒了。
∮⊱⊱⊱ 分开以后所有的承诺都将随着时间而蜕变为谎言 ⊰⊰⊰∮
尾巴不止能用来挠痒痒
还能凑字数
江西省网友说:这么晚就不做逆向了,随便在anyrun里面跑了下
运行释放两个文件
C:\Windows\SysWOW64\Dtldt.exe
C:\Users\admin\Desktopwegejwgewew.exe
会改注册表
HKEY_LOCAL_MACHINE\SYSTEM\Select
HKEY_USERS\.DEFAULT\Software\Microsoft\ActiveMovie\devenum
会连域名huweihong.net, ip是206.119.81.199:8081
可能沙盒是美国ip,所以没办法下载剩下的恶意代码
具体的请看附件
安徽省网友说:在病毒救援区发个悬赏贴试试
江苏省网友说:谢谢大佬!
不用逆向,我就想把它给删了就完事了
湖南省网友说:重做系统 UAC策略什么的拉满
河南省网友说:微软出的Sysinternal软件包里面有一个软件Autoruns或者Autoruns64,打开会扫描系统开机启动项,看到那个不对劲就删
