自制易语言病毒程序

温馨小屋

卡巴

原来是bat2exe


Event :        Malicious object detected
User :        DESKTOP-MM
User type :        Active user
Component :        Virus Scan
Result :        Detected
Result description :        Detected
Type :        Trojan
Name :        Trojan.BAT.KillFiles.fh
Precision :        Exactly
Threat level :        High
Object type :        File
Object name :        b2e
Object path :        Z:\xth virus\xth virus\vir 线程2.exe//
MD5 :        15B8165B8D99FA9BCE1EB79E4535FF29
Reason :        Databases
Databases release date :        Today, 2/17/2021 9:33:00 AM
双击

事件 :        检测到恶意对象
组件 :        应用程序控制
结果说明 :        检测到
类型 :        木马
名称 :        Trojan.BAT.Looper.gen
威胁级别 :        高
对象路径 :        C:\Users\KBLTSC\AppData\Local\Temp\1746.tmp\1747.tmp
对象名称 :        1748.bat
原因 :        专家分析
数据库发布日期 :        2021/2/16 18:53:00
MD5 :        6FB3610C6C3B586D899ABDFDFE092707

tomochan

avast剩余线程1和3
1的话疯狂弹命令指令符窗口，然后我一个个关闭了
3的话拒绝了一堆访问，然后最后Y/N确认是否格式化C盘以外所有数据...

wwwab

火绒扫描kill 1
微点扫描0

anthonyqian

Kundows 发表于 2021-2-17 14:23
易语言程序基本都报毒吧

这不是易语言的问题。。。

anthonyqian

BD

线程2.exe is infected with Dropped:Trojan.BAT.Delete.DA

暗_黑

cylance

munsimli

fsp的DG攔截線程1-3，雙擊XTH 4th VIRUS但DG無反應，
數次還原快照測試有2次系統被破壞

wwwab

双击情况：


操作系统：Windows Server 2019 数据中心版 64位
杀毒软件：微点（默认设置）、火绒（关闭文件实时防护）
运行：XTH 4th VIRUS.exe
结果：微点主防删除1个可疑bat，火绒主防系统加固防护了6次注册表项

重启前现象：
1.微点无故退出，不断弹出cmd（后面手动再次启动微点）
2.可任务栏手动关闭4个木马程序以及所有cmd窗口，被我关掉了（关闭后发现cmd一直在删除文件，可能还关得有点儿快了）3. 时间变成6666-06-06 00:00，火绒的“保护天数”变成了上万天（联网校时后便可恢复正常）
重启后现象：
1.可正常开关机，上网正常
2.桌面一片空白，部分文件丢失
3.杀毒软件在托盘内成功自启，可打开
4.任务栏图标正常
5.火绒丢失驱动
6.任务栏上面的软件均可正常打开
7.如图……
8.通过火绒剑可正常打开桌面的路径并向里面读写文件。但是向里面复制文件以后，真正的桌面上面依然是一片空白。

火绒日志：

1. 【1】6666-06-06 00:00:20,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
   
2. 
   
3. 防护项目：常用文件关联项
   
4. 操作类型：修改
   
5. 数据内容：jpegfile
   
6. 目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\
   
7. 操作结果：已阻止
   
8. 
   
9. 进程ID：6228
   
10. 操作进程：C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
    
11. 操作进程命令行："C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
    
12. 操作进程校验和：340279EEC34EAA25931F62C4F853E2693D79019D
    
13. 父进程ID：2508
    
14. 父进程：C:\Windows\Explorer.EXE
    
15. 父进程命令行：C:\Windows\Explorer.EXE
    
16. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
17. 
    
18. 【2】6666-06-06 00:00:19,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
    
19. 
    
20. 防护项目：SafeBoot配置项
    
21. 操作类型：删除
    
22. 目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\
    
23. 操作结果：已阻止
    
24. 
    
25. 进程ID：6228
    
26. 操作进程：C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
    
27. 操作进程命令行："C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
    
28. 操作进程校验和：340279EEC34EAA25931F62C4F853E2693D79019D
    
29. 父进程ID：2508
    
30. 父进程：C:\Windows\Explorer.EXE
    
31. 父进程命令行：C:\Windows\Explorer.EXE
    
32. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
33. 
    
34. 【3】6666-06-06 00:00:18,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
    
35. 
    
36. 防护项目：IE首页锁定配置项
    
37. 操作类型：修改
    
38. 数据内容：0x00000001 (1)
    
39. 目标注册表：HKEY_USERS\S-1-5-21-2537623903-15215564-2455928708-500\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
    
40. 操作结果：已阻止
    
41. 
    
42. 进程ID：6228
    
43. 操作进程：C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
    
44. 操作进程命令行："C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
    
45. 操作进程校验和：340279EEC34EAA25931F62C4F853E2693D79019D
    
46. 父进程ID：2508
    
47. 父进程：C:\Windows\Explorer.EXE
    
48. 父进程命令行：C:\Windows\Explorer.EXE
    
49. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
50. 
    
51. 【4】6666-06-06 00:00:17,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
    
52. 
    
53. 防护项目：注册表编辑器屏蔽配置项
    
54. 操作类型：修改
    
55. 数据内容：0x00000001 (1)
    
56. 目标注册表：HKEY_USERS\S-1-5-21-2537623903-15215564-2455928708-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
    
57. 操作结果：已阻止
    
58. 
    
59. 进程ID：6228
    
60. 操作进程：C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
    
61. 操作进程命令行："C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
    
62. 操作进程校验和：340279EEC34EAA25931F62C4F853E2693D79019D
    
63. 父进程ID：2508
    
64. 父进程：C:\Windows\Explorer.EXE
    
65. 父进程命令行：C:\Windows\Explorer.EXE
    
66. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
67. 
    
68. 【5】6666-06-06 00:00:15,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
    
69. 
    
70. 防护项目：任务管理器屏蔽配置项
    
71. 操作类型：修改
    
72. 数据内容：0x00000001 (1)
    
73. 目标注册表：HKEY_USERS\S-1-5-21-2537623903-15215564-2455928708-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
    
74. 操作结果：已阻止
    
75. 
    
76. 进程ID：6228
    
77. 操作进程：C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
    
78. 操作进程命令行："C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
    
79. 操作进程校验和：340279EEC34EAA25931F62C4F853E2693D79019D
    
80. 父进程ID：2508
    
81. 父进程：C:\Windows\Explorer.EXE
    
82. 父进程命令行：C:\Windows\Explorer.EXE
    
83. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
84. 
    
85. 【6】6666-06-06 00:00:14,系统防护,系统加固,XTH 4th VIRUS.exe触犯注册表防护规则, 已阻止
    
86. 
    
87. 防护项目：常用文件关联项
    
88. 操作类型：修改
    
89. 数据内容：jpegfile
    
90. 目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\
    
91. 操作结果：已阻止
    
92. 
    
93. 进程ID：6228
    
94. 操作进程：C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe
    
95. 操作进程命令行："C:\Users\Administrator\Downloads\1\xth virus\XTH 4th VIRUS.exe"
    
96. 操作进程校验和：340279EEC34EAA25931F62C4F853E2693D79019D
    
97. 父进程ID：2508
    
98. 父进程：C:\Windows\Explorer.EXE
    
99. 父进程命令行：C:\Windows\Explorer.EXE
    
100. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
     

复制代码

fdsax

卡巴监控杀线程2，双击杀线程1，线程3无反应无破坏，XTH 4th VIRUS双击杀但系统已被破坏，图也截不了了
，

lenovo2019用户

编辑