求助,电脑被远程控制
本帖最后由 haimiandashu 于 2024-8-4 09:19 编辑被控后简单分析了原因以及可疑文件,不知道还有没有残留,请各位佬帮忙分析下。
一、发现问题
发现被远程控制电脑,尝试关闭火绒
二、应急处理
拔网线
三、故障原因
1、女朋友打不开文件,让帮忙看看(当时微信可没有进行提示该文件可能存在风险)
https://imgsrc.baidu.com/forum/pic/item/5882b2b7d0a20cf47c7215ff30094b36acaf9934.png
2、双击运行后,没有任何反应
3、发生了被控制的现象
四、故障分析
1、使用火绒进行全盘查杀(未检查出病毒)
2、使用腾讯哈勃分析系统 (qq.com),分析出一大堆(完辣😖)
https://imgsrc.baidu.com/forum/pic/item/a50f4bfbfbedab64d3a2a6e0b136afc379311e3a.png
https://imgsrc.baidu.com/forum/pic/item/d833c895d143ad4b19fdade0c4025aafa40f063b.png
3、检查系统文件夹是否存在可疑文件(远程女朋友的电脑,找两台电脑的相似文件,并查看文件的创建时间,大致推出可疑文件)
https://imgsrc.baidu.com/forum/pic/item/94cad1c8a786c917e8d1b9198f3d70cf3ac757c4.png
3.1 首先查找到的是 “静默1.exe”文件;他直接生成在了E盘的根目录,女朋友的是D盘的根目录。想用哈勃分析下病毒,发现超出了30MB,所以想看看打包成压缩包试试,发现此程序在被调用。
https://imgsrc.baidu.com/forum/pic/item/4b90f603738da977dae26d0bf651f8198718e3c6.png
3.2 发现被调用后,打开任务管理器进行查找后台运行文件,发现了“tomcat”程序,查到在其目录下还有一个conf.ini的配置文件,查看文件的生成日期,大致可判断“凶手”就是他。尝试还原配置文件中的内容,未果。
3.3 使用cmd运行 msconfig 命令,查看启动文件中是否被添加了什么应用,发现了“tomcat”,果断禁用。
3.4 在查杀期间,多次对单个文件或者文件夹使用火绒进行查杀,未检查出病毒。但女朋友的电脑查杀出 静默1.exe为木马病毒(此刻对火绒保持怀疑态度)
https://imgsrc.baidu.com/forum/pic/item/267f9e2f07082838eac13734fe99a9014d08f1c7.png
3.5 至此 分析完毕,能找到的就这么多。
五、故障总结
1、发生被控现象及时断网线
2、及时备份重要文件
3、不要轻易打开陌生文件
五、病毒样本
https://wwm.lanzout.com/b0kna42pa
密码:52pj
注意:b4cbf3ffbd8e152116e72487c3b16f1d.exe文件为病毒母体,运行测试时请注意环境。
这是银狐木马吧 @火绒安全实验室来瞧瞧 你 @火绒安全实验室 来研究一下,效果应该是最好,毕竟他们很专业。 有时候防不胜防啊 先杀毒吧,不行就从注册表入手。 断网→全盘分区,再重装 谁发给她的呢? 重要资料备份了吧