中秋快乐,身边人中招银狐了......（内含一个银狐）

显示全部楼层 · 发表于 2024-9-17 13:05:19

QVM360 发表于 2024-9-17 13:04
现在重启了，变成红色的了，待会看看那个计划任务能不能被移除

还可以试试C盘windows目录下面扔一个wowocock.tmp空文件，然后再重启查杀

显示全部楼层 · 发表于 2024-9-17 13:05:46

00006666 发表于 2024-9-17 13:04
还可以试试在C盘windows目录下面扔一个wowocock.tmp空文件，隐藏模式

估计会被删

显示全部楼层 · 发表于 2024-9-17 13:07:48

QVM360 发表于 2024-9-17 12:39
我虚拟机中测试了，360急救箱删除失败。现在去winpe里搞，你是怎么帮他处理的？
破案了，我下的急救箱是旧 ...

那个b8duYzdO.exe强力模式里删掉了

显示全部楼层 · 发表于 2024-9-17 13:18:13

重启过后，急救箱都无法打开了，gg

显示全部楼层 · 发表于 2024-9-17 13:27:06

本帖最后由 00006666 于 2024-9-17 13:31 编辑

QVM360 发表于 2024-9-17 13:18
重启过后，急救箱都无法打开了，gg

主程序superkillller.exe可以随机改名运行，随机改任意名字再双击启动，压缩包目录的无签名工具也可以试一下，先运行无签名工具再运行急救箱，实在不行还能试试把superkillller.exe的签名敲掉(改个md5就行)，再运行，急救箱支持这样的操作，手动绕过拦截 (

显示全部楼层 · 发表于 2024-9-17 13:30:20

本帖最后由 QVM360 于 2024-9-17 13:33 编辑

00006666 发表于 2024-9-17 13:27
主程序superkillller.exe可以随机改名运行，随机改任意名字再双击启动，压缩包目录的无签名工具也可以试 ...

试过了，但是用户目录下总有个sys文件无法检测并删除
programdata下有几个文件，急救箱总是不检测，还得我自己手动删除。现在360可以打开了，就差个sys文件，待会看看重启结果如何

显示全部楼层 · 发表于 2024-9-17 13:32:49

QVM360 发表于 2024-9-17 13:30
试过了，但是用户目录下总有个sys文件无法检测并删除

检测不到的，就只能试试C盘windows目录下面扔一个wowocock.tmp空文件，再查杀了，超级强力模式，以前一些扫不出来的驱动，用这种方式才能查杀

显示全部楼层 · 发表于 2024-9-17 13:34:17

00006666 发表于 2024-9-17 13:32
检测不到的，就只能试试C盘windows目录下面扔一个wowocock.tmp空文件，再查杀了，超级强力模式，以前一些 ...

我直接进winpe删除

显示全部楼层 · 发表于 2024-9-17 13:35:27

QVM360 发表于 2024-9-17 13:34
我直接进winpe删除

驱动可以提取出来，发样本区，不过以往银狐喜欢用一些无签名漏洞驱动，发样本区意义不大。

显示全部楼层 · 发表于 2024-9-17 13:35:45

00006666 发表于 2024-9-17 13:35
驱动可以提取出来，发样本区，不过以往银狐喜欢用一些无签名漏洞驱动，发样本区意义不大。

这个是带签名的

，programdata下的那些感觉以前发过了

[病毒样本] 中秋快乐,身边人中招银狐了......（内含一个银狐）