误下载了一个锁机软件,被锁了
望52的大牛们提供帮助样本放下边,非专业认识请勿尝试
样本下载地址https://wwm.lanzouw.com/i9FRC01dfdqj 期待高手解答 这病毒写的我也是不得不佩服
短信 电话.exe
首先,隐藏桌面图标,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
然后,禁用注册表编辑器,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
随后,禁用资源管理器的查看系统隐藏文件选项,即修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
第三步,禁用运行菜单,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
第四步,禁用关机菜单,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
第五步,禁用搜索功能,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
第六步,禁用文件夹选项,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
第七步,禁用注销功能,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
第八步,禁用开始选单中的最近使用的文档,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
第九步,禁用控制面板,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
前面九步,能禁用的病毒全部都给你禁用了一遍……
第十步,释放:
C:\Windows\System32\25.vbs
C:\Windows\system32\51.bat
C:\Users\Admin\AppData\Local\Temp\zasa.bat
C:\Users\Admin\AppData\Local\Temp\9zz4.bat
C:\Purple's domain ccs.exe
C:\Users\Admin\AppData\Local\Temp\9zz4sa.bat
C:\Users\Admin\AppData\Local\Temp\z999asa.bat
C:\Users\Admin\AppData\Local\Temp\74.bat
C:\Windows\system32\reg.bat
C:\Users\Admin\AppData\Local\Temp\9zz4saasa.bat
C:\Windows\Fonts\4568.exeC:\Users\Admin\AppData\Local\Temp\966.bat
C:\Users\Admin\AppData\Local\Temp\9974.bat
第十一步,检测并尝试干掉360:检测.*360Safe,然后执行taskkill /f /im 360tray.exe
第十二步,尝试干掉Windows防火墙:执行netsh firewall set opmode mode=disable profile=ALL,执行netsh firewall set opmode mode=disable
第十三步,删除safeboot相关注册表项以禁用登陆到安全模式,即删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*下的所有注册表项目
第十四步,加驱,驱动文件名为FileDriver.sys,驱动服务名称为FileDriver.sys(最先释放到C:\FileDriver.sys,然后释放到C:\Windows\Fonts\FileDriver.sys,最后再加载注册驱动)
第十五步,删除bat、vbs
第十六步,修改mbr,植入bootkit,killmbr purple's domain ccs.exe
文件大小:
968.00KB
MD5:
cde27892f036385469647b11150cda0d
SHA1:
6627ca058f624a26fa9e435e2b65e53838290922
SHA256:
588e4c9c3acb8c30dc962cc0825eb783c8ecbdf65b0f45fe52f0e3d3e0e489fb
文件路径:
C:\Purple's domain ccs.exe
filedriver.sys
文件大小:
14.89KB
MD5:
6bcf4a93862355b1863712747364df36
SHA1:
c6aa90b73ee4cfc5b5569a9ffa437e59c40aa80d
SHA256:
38c80d91daf73ac66db7e75a2d83c2d25987b390b17a14ddfb4af1d1bd8f720a
51.bat
文件大小:
140B
MD5:
b15a3aea69c7d2b0f6b2d644017ee7ff
SHA1:
2d74eff58e970f592a4969f9cc29b79714e45330
SHA256:
5b26c64e353f57b8c0c823256ffb0d8e0872c929bc5143d5e2f742a9612a2fc2
文件路径:
C:\Windows\System32\51.bat
9zz4saasa.bat
文件大小:
32B
MD5:
7cf834aeac59e6418ea33a128d030afa
SHA1:
9981c8952db8e81238af87d1a2b3dd027a1aad9b
SHA256:
3f581b602d556ff2d853bad80b4abd7568ad53d67c2f3f23ea6caeebfa7693df
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4saasa.bat
74.bat
文件大小:
171B
MD5:
4a420e0bbbb7def5688f91ebaf97c077
SHA1:
93fde0f0d79847ec2ab0872adc1e8903253a37b1
SHA256:
4375cd63dbd28795dd2c22976df9439b1414545a4365c32a3c3c29dd07150d21
文件路径:
C:\Users\Admin\AppData\Local\Temp\74.bat
9974.bat
文件大小:
30B
MD5:
c25c11b2917b816bd82c8955ece57d57
SHA1:
314f7996a0c0efdf0fc8e278d4261a65dadbdfbe
SHA256:
98eb75ff4aa74d9485689f650af8d39ea97aaa1873197bbb809ae909300ce666
文件路径:
C:\Users\Admin\AppData\Local\Temp\9974.bat
9zz4.bat
文件大小:
32B
MD5:
d3f8d3a268cb9bff03fd6cd8a75d5b81
SHA1:
81a6c524ac6cb76456ab0a4fa5a6df405d284313
SHA256:
d1e2444221ec2be6ae66e9e4138ab31bf05db05aa1218f5fff7f820bc4cd6ef2
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4.bat
9zz4sa.bat
文件大小:
32B
MD5:
d0f4d2a0c7284a1c7ae95eeb2fa65e4e
SHA1:
89a9888c831f7769c96d8b73296570e25f7f17c1
SHA256:
11f3714ea716c36d0828e81d69c719d2068adc8ff13aac79770e9e5e55d1cdaf
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4sa.bat
zasa.bat
文件大小:
58B
MD5:
3b3ac5ea23b09c04cb5288ac85552609
SHA1:
631b52461486c02f85d68b9d9ba1e0ddf66870be
SHA256:
627f218efc83b057cacd72556f8ebc904e6ede973c8d273e02689d24bbddc404
文件路径:
C:\Users\Admin\AppData\Local\Temp\zasa.bat
z999asa.bat
文件大小:
40B
MD5:
e809d173a0979664650477db643937b1
SHA1:
81c23631d02e4bb2ae3414770fe312757d3767ce
SHA256:
aa5f53612e40a3fa626a3eade5dd51efe7e6ec257bc529255860097f14aa2f51
文件路径:
C:\Users\Admin\AppData\Local\Temp\z999asa.bat
966.bat
文件大小:
32B
MD5:
58da064cd8c998a3515c7432b8b426c4
SHA1:
047c58abaf8ecd5dba1c00ec0281b1d1b99d0084
SHA256:
9a49179768b20570c56636575d400dbd6b026f54c730da21ba26f46006dc55bf
文件路径:
C:\Users\Admin\AppData\Local\Temp\966.bat
reg.bat
文件大小:
139B
MD5:
90fe0b90fc4efc1404e0150be44b05f6
SHA1:
96e8e6b4feef165e52483e801cf4c27d48f6c19b
SHA256:
fafd0784ebe06ac5677becf743a5391f153e03814b79140e6802b444fd49237b
文件路径:
C:\Windows\System32\reg.bat
页:
[1]