吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4855|回复: 3
收起左侧

误下载了一个锁机软件,被锁了

[复制链接]
2642755078 发表于 2022-3-12 19:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
望52的大牛们提供帮助
样本放下边,非专业认识请勿尝试


样本下载地址
https://wwm.lanzouw.com/i9FRC01dfdqj

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

flyjerry 发表于 2022-3-13 10:00
期待高手解答
ahov 发表于 2022-3-13 12:34
这病毒写的我也是不得不佩服

短信 电话.exe
首先,隐藏桌面图标,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
然后,禁用注册表编辑器,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
随后,禁用资源管理器的查看系统隐藏文件选项,即修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
第三步,禁用运行菜单,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
第四步,禁用关机菜单,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
第五步,禁用搜索功能,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
第六步,禁用文件夹选项,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
第七步,禁用注销功能,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
第八步,禁用开始选单中的最近使用的文档,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
第九步,禁用控制面板,即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
前面九步,能禁用的病毒全部都给你禁用了一遍……

第十步,释放:
C:\Windows\System32\25.vbs
C:\Windows\system32\51.bat
C:\Users\Admin\AppData\Local\Temp\zasa.bat
C:\Users\Admin\AppData\Local\Temp\9zz4.bat
C:\Purple's domain ccs.exe
C:\Users\Admin\AppData\Local\Temp\9zz4sa.bat
C:\Users\Admin\AppData\Local\Temp\z999asa.bat
C:\Users\Admin\AppData\Local\Temp\74.bat
C:\Windows\system32\reg.bat
C:\Users\Admin\AppData\Local\Temp\9zz4saasa.bat
C:\Windows\Fonts\4568.exeC:\Users\Admin\AppData\Local\Temp\966.bat
C:\Users\Admin\AppData\Local\Temp\9974.bat

第十一步,检测并尝试干掉360:检测.*360Safe,然后执行taskkill /f /im 360tray.exe

第十二步,尝试干掉Windows防火墙:执行netsh firewall set opmode mode=disable profile=ALL,执行netsh firewall set opmode mode=disable

第十三步,删除safeboot相关注册表项以禁用登陆到安全模式,即删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*下的所有注册表项目

第十四步,加驱,驱动文件名为FileDriver.sys,驱动服务名称为FileDriver.sys(最先释放到C:\FileDriver.sys,然后释放到C:\Windows\Fonts\FileDriver.sys,最后再加载注册驱动)

第十五步,删除bat、vbs

第十六步,修改mbr,植入bootkit,killmbr

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
2642755078 + 1 + 1 热心回复!

查看全部评分

ahov 发表于 2022-3-13 12:36
purple's domain ccs.exe
文件大小:
968.00KB
MD5:
cde27892f036385469647b11150cda0d
SHA1:
6627ca058f624a26fa9e435e2b65e53838290922
SHA256:
588e4c9c3acb8c30dc962cc0825eb783c8ecbdf65b0f45fe52f0e3d3e0e489fb
文件路径:
C:\Purple's domain ccs.exe

filedriver.sys
文件大小:
14.89KB
MD5:
6bcf4a93862355b1863712747364df36
SHA1:
c6aa90b73ee4cfc5b5569a9ffa437e59c40aa80d
SHA256:
38c80d91daf73ac66db7e75a2d83c2d25987b390b17a14ddfb4af1d1bd8f720a

51.bat
文件大小:
140B
MD5:
b15a3aea69c7d2b0f6b2d644017ee7ff
SHA1:
2d74eff58e970f592a4969f9cc29b79714e45330
SHA256:
5b26c64e353f57b8c0c823256ffb0d8e0872c929bc5143d5e2f742a9612a2fc2
文件路径:
C:\Windows\System32\51.bat

9zz4saasa.bat
文件大小:
32B
MD5:
7cf834aeac59e6418ea33a128d030afa
SHA1:
9981c8952db8e81238af87d1a2b3dd027a1aad9b
SHA256:
3f581b602d556ff2d853bad80b4abd7568ad53d67c2f3f23ea6caeebfa7693df
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4saasa.bat

74.bat
文件大小:
171B
MD5:
4a420e0bbbb7def5688f91ebaf97c077
SHA1:
93fde0f0d79847ec2ab0872adc1e8903253a37b1
SHA256:
4375cd63dbd28795dd2c22976df9439b1414545a4365c32a3c3c29dd07150d21
文件路径:
C:\Users\Admin\AppData\Local\Temp\74.bat

9974.bat
文件大小:
30B
MD5:
c25c11b2917b816bd82c8955ece57d57
SHA1:
314f7996a0c0efdf0fc8e278d4261a65dadbdfbe
SHA256:
98eb75ff4aa74d9485689f650af8d39ea97aaa1873197bbb809ae909300ce666
文件路径:
C:\Users\Admin\AppData\Local\Temp\9974.bat

9zz4.bat
文件大小:
32B
MD5:
d3f8d3a268cb9bff03fd6cd8a75d5b81
SHA1:
81a6c524ac6cb76456ab0a4fa5a6df405d284313
SHA256:
d1e2444221ec2be6ae66e9e4138ab31bf05db05aa1218f5fff7f820bc4cd6ef2
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4.bat

9zz4sa.bat
文件大小:
32B
MD5:
d0f4d2a0c7284a1c7ae95eeb2fa65e4e
SHA1:
89a9888c831f7769c96d8b73296570e25f7f17c1
SHA256:
11f3714ea716c36d0828e81d69c719d2068adc8ff13aac79770e9e5e55d1cdaf
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4sa.bat

zasa.bat
文件大小:
58B
MD5:
3b3ac5ea23b09c04cb5288ac85552609
SHA1:
631b52461486c02f85d68b9d9ba1e0ddf66870be
SHA256:
627f218efc83b057cacd72556f8ebc904e6ede973c8d273e02689d24bbddc404
文件路径:
C:\Users\Admin\AppData\Local\Temp\zasa.bat

z999asa.bat
文件大小:
40B
MD5:
e809d173a0979664650477db643937b1
SHA1:
81c23631d02e4bb2ae3414770fe312757d3767ce
SHA256:
aa5f53612e40a3fa626a3eade5dd51efe7e6ec257bc529255860097f14aa2f51
文件路径:
C:\Users\Admin\AppData\Local\Temp\z999asa.bat

966.bat
文件大小:
32B
MD5:
58da064cd8c998a3515c7432b8b426c4
SHA1:
047c58abaf8ecd5dba1c00ec0281b1d1b99d0084
SHA256:
9a49179768b20570c56636575d400dbd6b026f54c730da21ba26f46006dc55bf
文件路径:
C:\Users\Admin\AppData\Local\Temp\966.bat

reg.bat
文件大小:
139B
MD5:
90fe0b90fc4efc1404e0150be44b05f6
SHA1:
96e8e6b4feef165e52483e801cf4c27d48f6c19b
SHA256:
fafd0784ebe06ac5677becf743a5391f153e03814b79140e6802b444fd49237b
文件路径:
C:\Windows\System32\reg.bat
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表