吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3585|回复: 31
收起左侧

电脑中了盗U的病毒 火绒不知道有没杀干净

  [复制链接]
哆米 发表于 2022-1-14 04:15
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
100吾爱币
在飞机找接验证码的,那人的tg  号@hghfghgsdzfdsf,说他的能用,直接就下载了,一点开就消失了知道应该是病毒,问了他要干嘛,他说是盗U,现在不知道怎么弄了,下载地址好像是他的服务器,有办法整他吗,我把它的地址附上
http://154.23.179.199/LiuXing%20JM.exe
https://wwp.lanzouq.com/icbJjyjb30h
两个都是 有大神能整整他吗

最佳答案

查看完整内容

LiuXing JM.exe那个是病毒 Farfli Zegost僵尸网络家族 应该是有远控功能的 火绒主防应该可以拦截(中了以后日志里面应该会有僵尸网络病毒的防护的吧?你去看看,显示的操作进程命令行应该是C:\Windows\System32\gVnfvn.exe -auto) 请在火绒IP黑名单中添加以下IP:154.23.179.199、103.145.87.162 IP协议控制中:154.23.179.199:8085 (TCP)、103.145.87.162:1688 (TCP) 使用管理员权限Cmd,删除名为Vnfgvnf Wofwo ...

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
夫子点灯 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ahov 发表于 2022-1-14 04:15
本帖最后由 ahov 于 2022-1-14 10:09 编辑

LiuXing JM.exe那个是病毒

Farfli Zegost僵尸网络家族

应该是有远控功能的

火绒主防应该可以拦截(中了以后日志里面应该会有僵尸网络病毒的防护的吧?你去看看,显示的操作进程命令行应该是C:\Windows\System32\gVnfvn.exe -auto)

请在火绒IP黑名单中添加以下IP:154.23.179.199、103.145.87.162
IP协议控制中:154.23.179.199:8085 (TCP)、103.145.87.162:1688 (TCP)

使用管理员权限Cmd,删除名为Vnfgvnf Wofwo的服务,

病毒的操作信息为:
[Asm] 纯文本查看 复制代码
service_path:
C:\Windows\System32\gVnfvn.exe -auto
service_name:
Vnfgvnf Wofwo


然后使用https://bbs.huorong.cn/thread-18575-1-1.html扫描一遍

使用火绒剑右上角文件按钮检查是否有C:\Windows\SysWOW64\WSkcsk.exe、C:\Windows\SysWOW64\Delete00.bat、C:\Windows\System32\gVnfvn.exe、C:\Windows\SysWOW64\gVnfvn.exe、C:\Windows\System32\WSkcsk.exe、C:\Windows\System32\Delete00.bat、C:\tmpz_rerm#awijalkgj.exe,有则删除,无则忽略

那个Delete00.bat好像是病毒用来自我删除的bat批处理文件

样本Ioc信息:
MD5:d860dbc91f83aa427d891d444f183cbf
SHA-1:9a0b17830f3989298287c11a3283d02a12d7b446
SHA-256:eeaa26d940045ed344ff4a61a6aa7c35e9b4c6d0008c072c43bb507ddc6d0f1f

经过查询后发现有同源样本,Ioc信息:
1.
MD5:729686765a7bfb675de78394a2c572d4
SHA-1:5de42e4d7288a923aee46589e7e3125f0cf36a5e
SHA-256:3e2e82d539faba3016b02ea790ace5f38c0d872bb1488ce5089c8a8c998369d9
2.
MD5:3c4c3ff0147b73573ebefd84fcdba645
SHA-1:461d5ad3b7ecd2c4a8c10104cd880f8ac4f3c97e
SHA-256:079f5e554c3d7b250638d2a5e4a39eeb47a083a059ed63465059f889c73cb7f1

同源样本衍生物Ioc信息:
MD5:a0d57388833224f10803610d630905b1
SHA-1:631730ae4d01344b1659219812d038150a827369
SHA-256:82f7a81d5f580b4141dbdf6a3e80b69952e9fdf6d44916320d74909d0ffc8910

经过查询,直接访问病毒C&C服务器(154.23.179.199)目前仍然依然会有两个文件的,分别名为LiuXing JM.exe和Rocket JM 12.5.exe,样本大小相同,经过验证发现哈希值相同,同属同一个样本,都是你中到的那一个,下载次数加起来一共过百(可能会有很大一批是从吾爱这里这边过去下载的增加了下载量的) 截屏 2022-01-14 上午9.42.43.png

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
twostudy + 1 + 1 我很赞同!

查看全部评分

我是逍遥 发表于 2022-1-14 06:52
xjjlxcb123 发表于 2022-1-14 07:05
chinahnek 发表于 2022-1-14 07:38
未知软件的请在虚拟机中运行,不用担心的,既然的盗u的,从你叙述的情况的来看,无非现在的用几个在监视或者劫持你点的,怎么能转走u,那几点而已,断网消毒的,手机断网,然后用流量数据打开钱包 更改密码 不要打开pc端的任何钱包,然后看管理器里面找可疑的进程,其实你大概率不用担心,一般杀毒软件就能杀掉 更新的一下病毒的库,如果他能写出绕过 每天更新的杀毒软件,也不至于在诱导人家下载软件盗u了,哈哈哈  
Co106488523 发表于 2022-1-14 07:38
报警啊有效
love12581 发表于 2022-1-14 08:09
现在居然还有盗U这操作,一旦中毒拔了网线,拿火绒多杀几次
CCQc 发表于 2022-1-14 08:12
期待大神能顺着网线搞下这混蛋,以为tg上就可以无法无天
shszss 发表于 2022-1-14 08:19
前段时间电脑中了病毒,全盘格式化了,好多东西都丢了
xxscwsrym 发表于 2022-1-14 08:28
U是什么病毒?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 22:17

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表