远控木马【关键是启动项加的牛逼--二楼有查杀方法】

显示全部楼层 · 发表于 2017-2-11 19:41:01

784696777 发表于 2017-2-10 20:10
母体
卡巴斯基安全软件
拒绝访问

尊敬的用户您好，

感谢您的帮助，在您提交的附件中已经发现新的恶意软件，请稍后更新最新数据库试一下
kugou.dll detected Trojan.Win32.DLLhijack.he

显示全部楼层 · 发表于 2017-2-11 20:12:01

本帖最后由电脑发烧友于 2017-2-11 20:51 编辑

vm001 发表于 2017-2-11 18:38
多i运行几次发现，改了这个启动项也不行了，还有其他的

一不小心二连了，编辑了下一楼

先删掉那个注册表，然后以管理员权限运行cmd 然后重启MSDTC服务即可，我这里恢复快照试验了3次，启动项都没有被回写。

P S：每次恢复快照都会删掉启动项再重启，如果回写了才会重启服务。

显示全部楼层 · 发表于 2017-2-11 20:43:26

本帖最后由电脑发烧友于 2017-2-11 20:50 编辑

vm001 发表于 2017-2-11 18:38
多i运行几次发现，改了这个启动项也不行了，还有其他的

二连强迫症

显示全部楼层 · 发表于 2017-2-11 21:00:20

看dalao们谈笑风
这个启动项用PCH看不到吧
HIPS才可以

显示全部楼层 · 发表于 2017-2-11 21:02:16

电脑发烧友发表于 2017-2-11 20:12
一不小心二连了，编辑了下一楼

不是启动项会写，是删除这个注册表修改为正常的以后还是会开机启动，只不过不是msdtc来启动了，是svchost.exe来启动，需要给$MSRecycle.Bin改名或者删除（有关这里的注册表全部已经删除），难道这个文件夹有什么意义？
后来发现这个，有点类似
http://www.myhack58.com/Article/60/63/2016/78145_2.htm

一下午光测试这个了

显示全部楼层 · 发表于 2017-2-11 21:04:07

windows7爱好者发表于 2017-2-11 21:00
看dalao们谈笑风
这个启动项用PCH看不到吧
HIPS才可以

win10 64位没法用md啊

显示全部楼层 · 发表于 2017-2-11 21:49:19

vm001 发表于 2017-2-11 21:04
win10 64位没法用md啊

毛豆不行吗

显示全部楼层 · 发表于 2017-2-11 22:11:42

windows7爱好者发表于 2017-2-11 21:49
毛豆不行吗

我玩不惯毛豆，弹窗太多

显示全部楼层 · 发表于 2017-2-11 22:12:34

电脑发烧友发表于 2017-2-11 20:43
二连强迫症

看来拦截这个样本关键是要拦截调用C:\Windows\system32\eventvwr.exe
这个要是不拦截其他的防护就白搭了

显示全部楼层 · 发表于 2017-2-11 22:47:28

@lixihong10
快来围观!!

[病毒样本] 远控木马【关键是启动项加的牛逼--二楼有查杀方法】