遇到勒索病毒
本帖最后由 lizf2019 于 2020-7-14 09:11 编辑@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit
不知道什么时候开了个软件
文件就变成了xx.xx.id.com]病毒似乎是通过C这个MD脚本加密的,源码在上面了,求大佬支招{:1_893:}! 本帖最后由 azusys 于 2020-6-28 17:06 编辑
多多利用百度···
刚刚百度了一下 这个代码貌似是删除系统日志用的
wevtutil 命令参数如下
命令 意义 注释
el enum-logs 列出日志名称
gl get-log 获取日志配置信息
sl set-log 修改日志配置
ep enum-publishers 列出事件发布者
gp get-publisher 获取发布者配置信息
im install-manifest 从清单中安装事件发布者和日志
um uninstall-manifest 从清单中卸载事件发布者和日志
qe query-events 从日志或日志文件中查询事件
gli get-log-info 获取日志状态信息
epl export-log 导出日志
al archive-log 存档导出的日志
cl clear-log 清除日志
清除日志后
运行goto :eof 命令后
CMD返回并将等待下一条命令
以下代码来自百度
3]使用CMD删除事件日志文件
要清除所有内容,请启动记事本软件,然后复制并粘贴以下来自MSDN的信息:
@echo off
FOR /F “tokens=1,2*” %%V IN (‘bcdedit’) DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F “tokens=*” %%G in (‘wevtutil.exe el’) DO (call :do_clear “%%G”)
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
确保将数据保存为.CMD文件,然后最后右键单击保存的文件并选择以管理员身份运行。 从那里,命令提示符应该自己启动,你需要做的就是让它完成它的工作。 ienzoo 发表于 2020-6-28 18:03
我也是醉了,前两三天论坛下了一个E速达的淘宝发货软件,中木马了,凌晨5点左右被远控盗刷了1000多,还有多 ...
是不是这个人发的?如果是,那他应该解释一下:
https://www.52pojie.cn/thread-1209089-1-1.html wevtutil.exe
这是什么进程,扫一下病毒 。。你能找到源码,还知道怎么加密的,就已经比我厉害咧。等一个大佬来。。。 大佬们 快来秀技能吧 小白在此求学ing 蹲一个大佬。。。 来学习怎么搞定的 插个眼,等大佬过来 坐等大佬收场 想知道开了啥软件。。
坐等大佬收场 想知道开了啥软件
页:
[1]
2