调用SyncAppvPublishingServer.vbs的病毒临时处理方法
本帖最后由 Tonyha7 于 2022-4-13 07:33 编辑##前言
楼主的电脑前几天不幸“*中招*”了(后发现是微软更新搞的鬼。。。)
因此瞎折腾了一顿,这里记录下**无法定位到病毒文件**时的临时解决方案。
##特征
此种病毒有一定年头了,多为利用`C:\Windows\System32\SyncAppvPublishingServer.vbs`来启动PowerShell执行命令,从而绕过安全软件的检查来运行恶意命令。(大部分为远程脚本)
##获取执行命令
###原理
既然病毒启动的是vbs,我们可以从这个vbs来入手,让他把病毒执行的命令输出到文件中。
###修改vbs
毕竟这是系统文件,为了防止翻车,这里先把文件复制一份,以便不时之需。
https://s1.ax1x.com/2022/04/12/LmH6fK.png
用文本编辑器打开,看看内容。
https://s1.ax1x.com/2022/04/12/LmHx7n.png
这个就很明显了,即使不会vbs,也能很轻易地看出这里是启动PowerShell的地方。
把他修改成这样
https://s1.ax1x.com/2022/04/12/LmbM9K.png
```
Dim psCmd
'psCmd = "powershell.exe -Command &{" & syncCmd & "}"
psCmd = "powershell.exe -Command write-output {" & syncCmd & "} | out-file -filepath C:\脑瘫病毒\catch.txt"
```
这样会把这样执行的命令写到文件中去。
我这里的文件是C:\脑瘫病毒\catch.txt
###瓮中捉鳖
重启电脑,静静等待病毒调用SyncAppvPublishingServer.vbs执行命令。
https://s1.ax1x.com/2022/04/12/LmLdOg.png
这里抓到了获取系统日志的命令
如果发现了执行远程脚本的命令,直接用防火墙把远程地址拉黑即可。
##总结
这里的方法只能临时使用,并不能定位到具体的病毒文件,最好的方法还是定位到具体文件并删除。
大佬牛逼 厉害,牛呀 厉害,感谢分享 太恐怖了 大佬确实牛逼 感谢分享,希望不会碰到这些恶意软件 收藏,谢谢分享
页:
[1]