远控木马【关键是启动项加的牛逼--二楼有查杀方法】

显示全部楼层 · 发表于 2017-2-10 23:45:44

本帖最后由 vm001 于 2017-2-10 23:49 编辑

电脑发烧友发表于 2017-2-10 23:34
这个注册表是Windows中加载的服务了而且级别应该是最高的。

HKEY_LOCAL_MACHINE\System\CurrentCont ...

在这里找到了

登陆用户换了
处理恢复默认的

吧这个用户恢复到上图那里就可以了

显示全部楼层 · 发表于 2017-2-10 23:50:28

fs解压秒

显示全部楼层 · 发表于 2017-2-10 23:52:50

电脑发烧友发表于 2017-2-10 23:34
这个注册表是Windows中加载的服务了而且级别应该是最高的。

HKEY_LOCAL_MACHINE\System\CurrentCont ...

哦，和你说的是一个位置

显示全部楼层 · 发表于 2017-2-10 23:57:55

vm001 发表于 2017-2-10 23:52
哦，和你说的是一个位置

话说这又是一个被360加白的样本？

显示全部楼层 · 发表于 2017-2-11 00:09:29

NIS
SONAR.UACBypass!gen3 阻止cmd.exe

显示全部楼层 · 发表于 2017-2-11 00:12:38

cwl12315 发表于 2017-2-11 00:09
NIS
SONAR.UACBypass!gen3 阻止cmd.exe

看来动uac就会被sonar杀掉

显示全部楼层 · 发表于 2017-2-11 00:18:32

电脑发烧友发表于 2017-2-10 23:57
话说这又是一个被360加白的&#26679 ...

母体我这边测试360会拦截他添加一个文件关联，拦截以后无后续动作，允许这后续的白+黑就全部拦截不了。。
置灰白+黑以后，这个启动项360也没有防御点

显示全部楼层 · 发表于 2017-2-11 00:25:02

本帖最后由电脑发烧友于 2017-2-11 00:26 编辑

vm001 发表于 2017-2-11 00:18
母体我这边测试360会拦截他添加一个文件关联，拦截以后无后续动作，允许这后续的白+黑就全部拦截不了。。 ...

我这里怎么半点反应也没有啊，手动模式+网购模式居然没反应，win7 32 样本是直接拖进虚拟机的。

显示全部楼层 · 发表于 2017-2-11 00:33:52

电脑发烧友发表于 2017-2-11 00:25
我这里怎么半点反应也没有啊，手动模式+网购模式居然没反应，win7 32 样本是直接拖进虚拟机的。

我win7测试也是没反应的，win10会有这个动作

显示全部楼层 · 发表于 2017-2-11 18:38:28

电脑发烧友发表于 2017-2-11 00:12
看来动uac就会被sonar杀掉

多i运行几次发现，改了这个启动项也不行了，还有其他的

[病毒样本] 远控木马【关键是启动项加的牛逼--二楼有查杀方法】