求助，电脑被远程控制

haimiandashu

被控后简单分析了原因以及可疑文件，不知道还有没有残留，请各位佬帮忙分析下。

一、发现问题
发现被远程控制电脑，尝试关闭火绒
二、应急处理
拔网线
三、故障原因
1、女朋友打不开文件，让帮忙看看(当时微信可没有进行提示该文件可能存在风险)

2、双击运行后，没有任何反应
3、发生了被控制的现象
四、故障分析
1、使用火绒进行全盘查杀（未检查出病毒）
2、使用腾讯哈勃分析系统 (qq.com)，分析出一大堆（完辣😖）


3、检查系统文件夹是否存在可疑文件（远程女朋友的电脑，找两台电脑的相似文件，并查看文件的创建时间，大致推出可疑文件）

3.1 首先查找到的是 “静默1.exe”文件；他直接生成在了E盘的根目录，女朋友的是D盘的根目录。想用哈勃分析下病毒，发现超出了30MB，所以想看看打包成压缩包试试，发现此程序在被调用。

3.2 发现被调用后，打开任务管理器进行查找后台运行文件，发现了“tomcat”程序，查到在其目录下还有一个conf.ini的配置文件，查看文件的生成日期，大致可判断“凶手”就是他。尝试还原配置文件中的内容，未果。
3.3 使用cmd  运行 msconfig 命令，查看启动文件中是否被添加了什么应用，发现了“tomcat”,果断禁用。
3.4 在查杀期间，多次对单个文件或者文件夹使用火绒进行查杀，未检查出病毒。但女朋友的电脑查杀出 静默1.exe为木马病毒（此刻对火绒保持怀疑态度）

3.5 至此 分析完毕，能找到的就这么多。
五、故障总结
1、发生被控现象及时断网线
2、及时备份重要文件
3、不要轻易打开陌生文件

五、病毒样本
https://wwm.lanzout.com/b0kna42pa
密码:52pj

注意：b4cbf3ffbd8e152116e72487c3b16f1d.exe文件为病毒母体，运行测试时请注意环境。

jiabao009

这是银狐木马吧

绝版ren物

@火绒安全实验室  来瞧瞧

愚无尽

你 @火绒安全实验室 来研究一下，效果应该是最好，毕竟他们很专业。

linyufang

有时候防不胜防啊

MrYuxuan

先杀毒吧，不行就从注册表入手。

zpwz

断网→全盘分区，再重装

wuming4

谁发给她的呢？

laotzudao0

重要资料备份了吧