求助。。中了个叫HD_X.bat的蠕虫病毒
本帖最后由 Jiangyuluo 于 2022-2-12 20:36 编辑被感染的软件除了重装没有其他解决办法
与synaptics类似,打开文件后会生成一个新的exe
例如“qq.exe"打开后变成了”HD_qq.exe"
运行的是HD_qq.exe,qq.exe没有正常运行
火绒可以检测出这种病毒,但是没办法还原软件
有没有高手尝试能不能还原啊
病毒出处竟然是在我们论坛发现的
刚学OD的时候找了个查壳的工具
打开后我立马发现桌面软件不对劲,已经打开的一个软件没有运行,运行的是HD_xxx.exe
精yi的大佬分析说这个还有远控
样本:https://yuluoya.lanzouo.com/i7wzuzriiha
存在于多个系统目录 论坛里下载文件导致染毒?哪个帖子的文件,链接发一下 pe下360急救箱 火绒全盘杀毒试试 801a5d1a35f9d98eb4250e9db7954725 - HD_X.dat
确实有远控,远程地址为hackerinvasion.f3322.net
Farli/Zegost型的后门远控病毒
样本有Rootkit来自保,驱动名称叫做QAssist.sys,位于C:\Windows\System32\drivers\QAssist.sys
样本会自我复制到C:\Windows\System32\TXPlatforn.exe,并且启动自保
服务名称叫做TXPlatforn
衍生物:
a4329177954d4104005bce3020e5ef59 - C:\Windows\System32\TXPlatforn.exe
3b377ad877a942ec9f60ea285f7119a2 - svchos.exe
4e34c068e764ad0ff0cb58bc4f143197 - C:\Windows\System32\drivers\QAssist.sys 刚刚发现,样本把RUNDLL32.EXE重命名成了aon.exe来执行的恶意操作 ahov 发表于 2022-2-13 15:18
801a5d1a35f9d98eb4250e9db7954725 - HD_X.dat
确实有远控,远程地址为hackerinvasion.f3322.net
TXPlatforn.exe
svchos.exe
QAssist.sys这 三个都可以被火绒截杀
火绒也可以把被感染的软件都给删了 不过我电脑被感染的文件很多。。一个一个下载回来很麻烦
想问问大佬有没有方法还原文件,类似syn的还原工具 FleTime 发表于 2022-2-13 03:45
论坛里下载文件导致染毒?哪个帖子的文件,链接发一下
我软件下了很久了,之前论坛号忘了所以这个号是新号,之前下来没用OD,也没下什么杀软,也是最近学OD的时候发现运行的文件都终止了,才发现有这个蠕虫。帖子我也忘记叫什么了。。应该删了吧 断网杀毒一锅端
页:
[1]
2