吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2000|回复: 42
上一主题 下一主题
收起左侧

求助,电脑被远程控制

[复制链接]
跳转到指定楼层
楼主
haimiandashu 发表于 2024-8-4 09:16 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
100吾爱币
本帖最后由 haimiandashu 于 2024-8-4 09:19 编辑

被控后简单分析了原因以及可疑文件,不知道还有没有残留,请各位佬帮忙分析下。

一、发现问题
发现被远程控制电脑,尝试关闭火绒
二、应急处理
拔网线
三、故障原因
1、女朋友打不开文件,让帮忙看看(当时微信可没有进行提示该文件可能存在风险)

2、双击运行后,没有任何反应
3、发生了被控制的现象
四、故障分析
1、使用火绒进行全盘查杀(未检查出病毒)
2、使用腾讯哈勃分析系统 (qq.com),分析出一大堆(完辣😖)


3、检查系统文件夹是否存在可疑文件(远程女朋友的电脑,找两台电脑的相似文件,并查看文件的创建时间,大致推出可疑文件)

3.1 首先查找到的是 “静默1.exe”文件;他直接生成在了E盘的根目录,女朋友的是D盘的根目录。想用哈勃分析下病毒,发现超出了30MB,所以想看看打包成压缩包试试,发现此程序在被调用。

3.2 发现被调用后,打开任务管理器进行查找后台运行文件,发现了“tomcat”程序,查到在其目录下还有一个conf.ini的配置文件,查看文件的生成日期,大致可判断“凶手”就是他。尝试还原配置文件中的内容,未果。
3.3 使用cmd  运行 msconfig 命令,查看启动文件中是否被添加了什么应用,发现了“tomcat”,果断禁用。
3.4 在查杀期间,多次对单个文件或者文件夹使用火绒进行查杀,未检查出病毒。但女朋友的电脑查杀出 静默1.exe为木马病毒(此刻对火绒保持怀疑态度)

3.5 至此 分析完毕,能找到的就这么多。
五、故障总结
1、发生被控现象及时断网线
2、及时备份重要文件
3、不要轻易打开陌生文件

五、病毒样本
https://wwm.lanzout.com/b0kna42pa
密码:52pj

注意:b4cbf3ffbd8e152116e72487c3b16f1d.exe文件为病毒母体,运行测试时请注意环境。


发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

沙发
jiabao009 发表于 2024-8-4 09:28
这是银狐木马吧
3#
绝版ren物 发表于 2024-8-4 09:30
4#
愚无尽 发表于 2024-8-4 09:32
头像被屏蔽
5#
qwer921988973 发表于 2024-8-4 09:32
提示: 作者被禁止或删除 内容自动屏蔽
6#
linyufang 发表于 2024-8-4 09:39
有时候防不胜防啊
7#
MrYuxuan 发表于 2024-8-4 09:44
先杀毒吧,不行就从注册表入手。
8#
zpwz 发表于 2024-8-4 09:48
断网→全盘分区,再重装
9#
wuming4 发表于 2024-8-4 09:57
谁发给她的呢?
10#
laotzudao0 发表于 2024-8-4 10:09
重要资料备份了吧
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-1 05:21

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表