求助大佬们，电脑被远程控制了

LSJMY

前情提要：事情是这样的，我在一款游戏想收装备，加了一个qq群。
群主给我发了几张装备的截图，我点开始是图一直在转圈，他就说打包图片发给我，给我了一个文件夹，里面有装备的截图还有个excel表图标的运行程序（当时没仔细看），名字是价格表。
然后我打开那个价格表之后这个exe文件就不见了。
接着我就发现游戏窗口没了，我以为是闪退，然后就不停的上号，闪退，上号闪退。我才意识到电脑有可能被控制了，窗口不知道是不是被后台化了。
过了一会电脑就被自动关机了。然后我上号就发现号都被清空了。

事后我用everything去查找了一下发现是这个文件，创建时间和那个群主发我文件夹的时间对的上。
这个文件还得设置显示系统保护文件才能看的到。



然后我用360杀了一下结果是这个，按照百度的解释就是他会自动执行下载程序并运行的行为。




这个文件我用腾讯哈勃杀了一下说是会调用关键API


最后我去查找了一下运行这个程序的系统日志发现都是空的，我尝试着去重新运行网络确实会占用但是不知道怎么找出他的目的。

恳请大佬可以帮忙分析一下这个软件是不是就是会远程下载程序并且运行远程控制程序。
我现在担心的是他下载的程序注入到了系统里，我每次开机实际上都会被窥视，太恐怖了。
这个程序的安全性未知所以我放在了蓝奏盘设了密码，免得其他网友受害。
https://lsjmy.lanzouj.com/i6bkk1b5d6xa
密码:ays2

cattie

建议先断网，使用360急救箱强力模式扫两遍
稍后分析完贴报告。

https://s.threatbook.com/report/ ... fdab6239ccd5c3c5119
远控没毛病，加了VMP壳免杀，
关联IP：114.55.244.91 port:71、81
阿里云的虚拟主机，试试工单投诉干掉这个IP。


现在只要把【MsgE和attrib】这两个进程干掉，然后删掉这个文件就行了【C:\Users\Default\AppData\MsgE.exe】


*补充：关联样本（其实就是改了个名）分析地址：
https://s.threatbook.com/report/ ... eb01c61a8d3676903c9
https://s.threatbook.com/report/ ... f9217e88e11d2a8a9ee
https://s.threatbook.com/report/ ... 23f677f3d5a03e63d58

关联恶意域名：bnm.2sm.top 【8.217.113.145 port:8080】，也是远控，HTTP附带配置下载功能。
目前已知该样本还会劫持Wegame等游戏客户端。

Eqwer

stone-liu 发表于 2023-10-8 18:30
你用火绒试试看能不能杀毒杀死这些病毒

感觉杀毒还得360，火绒非专业人士玩不转

LSJMY

在文件资源管理器里面的“选项”设置里面的“查看”，“隐藏受保护的操作系统文件（推荐）”这个去掉勾选才能看得到。

stone-liu

你用火绒试试看能不能杀毒杀死这些病毒

xiaoshuimian

电脑断网，全盘查杀

夜白沙

任务管理器里面找不到进程吗？

LSJMY

stone-liu 发表于 2023-10-8 18:30
你用火绒试试看能不能杀毒杀死这些病毒

杀毒杀不到任何东西，不知道是不是被删除了

LSJMY

xiaoshuimian 发表于 2023-10-8 18:35
电脑断网，全盘查杀

全盘查杀没有杀到任何毒，在设置显示系统保护操作文件那个之前，360都没有杀到这个程序。直到我显示之后运行了，才提示的木马。别的病毒啥都没有

LSJMY

夜白沙 发表于 2023-10-8 18:40
任务管理器里面找不到进程吗？

任务管理器你只能找到这个啊MsgE，别的都是系统进程或者不认识的，我认不出来哪个不是系统的。

稻草人888

这个不像远控 应该就是木马 监控好像不至于 但是你上个小号都会被盗！