昨天手贱下了这个可疑文件，大家帮忙看下，谢谢！

pal家族

ultrafan 发表于 2016-4-11 21:38
原文件我存着呢，希望有高人分析下这文件的行为，我现在都不知道它对系统做了什么

以后别忽略了。。。。

pal家族

skyboybone 发表于 2016-4-11 21:38
国外杀软真高端。昨天中的毒明天还能刷回来

嘿嘿，真事儿哦

ultrafan

pal家族 发表于 2016-4-11 21:39
以后别忽略了。。。。

嗯，都是手贱惹的祸，以后打死我也不双击后缀为exe的可疑文件了

绯色鎏金

bat内容

1. "C:\Users\K\AppData\Local\Temp\lmtp~\hlsys32.exe" /ins  执行释放的锁主页程序，
   
2. :again
   
3. del "C:\Users\K\AppData\Local\Temp\lmtp~\hlsys32.exe" /Q   执行完毕删除
   
4. if exist "C:\Users\K\AppData\Local\Temp\lmtp~\hlsys32.exe" goto again  删除失败继续删
   
5. del C:\Users\K\AppData\Local\Temp\lmtp~\*.*  /Q    删除释放的其他文件
   
6. del "C:\Users\K\Desktop\迅雷会员账号共享2015最新版.exe" /Q   删除原执行文件
   
7. del %0 删除自身bat文件
   

复制代码

静默运行的是这货，运行完了删除自身。点击卸载后主页变回来了。
@ultrafan  你可以试试运行对应位数的程序，点击卸载试试看，但是要不要测试请自行斟酌
这锁主页货貌似会释放驱动来着。总之请谨慎

275751198

360  QVM10

windows7爱好者

利用一生锁页的改主页病毒，那个驱动是一生锁页的
我以前其实发过这个样本

鲁速

锁定首页应该归类于于破坏计算机系统行为，已经出现过很多年了，可是从没听说过政府管理部门和法律机构对这种行为有过任何处罚。

蓝天二号

诺顿

文件名: 迅雷会员账号共享2015最新版.exe
威胁名称: PUA.Yontoo.C完整路径: c:\users\cjw20\desktop\迅雷会员账号共享2015最新版.exe

____________________________

____________________________


在电脑上 
2016/4/12 ( 9:36:34 )

上次使用时间 
2016/4/12 ( 9:36:34 )

启动项 
否

已启动 
否

威胁类型: 安全风险。 会引发安全或隐私风险，且尚未归类为恶意程序的程序。

____________________________


迅雷会员账号共享2015最新版.exe 威胁名称: PUA.Yontoo.C
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

低
此文件具有低风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\cjw20\desktop\ 迅雷会员账号共享2015最新版.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

ultrafan

绯色鎏金 发表于 2016-4-11 21:50
bat内容

非常感谢！我电脑里找不到静默运行的这货，还有别的办法吗？进程管理器和注册表里也找不到相关信息

轩夏

微软 miss了