误下载了一个锁机软件，被锁了

2642755078 · 发表于 2022-3-12 19:18

望52的大牛们提供帮助
样本放下边，非专业认识请勿尝试

样本下载地址https://wwm.lanzouw.com/i9FRC01dfdqj

flyjerry · 发表于 2022-3-13 10:00

期待高手解答

ahov · 发表于 2022-3-13 12:34

这病毒写的我也是不得不佩服

短信电话.exe
首先，隐藏桌面图标，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
然后，禁用注册表编辑器，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools
随后，禁用资源管理器的查看系统隐藏文件选项，即修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
第三步，禁用运行菜单，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
第四步，禁用关机菜单，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
第五步，禁用搜索功能，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
第六步，禁用文件夹选项，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
第七步，禁用注销功能，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff
第八步，禁用开始选单中的最近使用的文档，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
第九步，禁用控制面板，即修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
前面九步，能禁用的病毒全部都给你禁用了一遍……

第十步，释放：
C:\Windows\System32\25.vbs
C:\Windows\system32\51.bat
C:\Users\Admin\AppData\Local\Temp\zasa.bat
C:\Users\Admin\AppData\Local\Temp\9zz4.bat
C:\Purple's domain ccs.exe
C:\Users\Admin\AppData\Local\Temp\9zz4sa.bat
C:\Users\Admin\AppData\Local\Temp\z999asa.bat
C:\Users\Admin\AppData\Local\Temp\74.bat
C:\Windows\system32\reg.bat
C:\Users\Admin\AppData\Local\Temp\9zz4saasa.bat
C:\Windows\Fonts\4568.exeC:\Users\Admin\AppData\Local\Temp\966.bat
C:\Users\Admin\AppData\Local\Temp\9974.bat

第十一步，检测并尝试干掉360：检测.*360Safe，然后执行taskkill /f /im 360tray.exe

第十二步，尝试干掉Windows防火墙：执行netsh firewall set opmode mode=disable profile=ALL，执行netsh firewall set opmode mode=disable

第十三步，删除safeboot相关注册表项以禁用登陆到安全模式，即删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*下的所有注册表项目

第十四步，加驱，驱动文件名为FileDriver.sys，驱动服务名称为FileDriver.sys（最先释放到C:\FileDriver.sys，然后释放到C:\Windows\Fonts\FileDriver.sys，最后再加载注册驱动）

第十五步，删除bat、vbs

第十六步，修改mbr，植入bootkit，killmbr

ahov · 发表于 2022-3-13 12:36

purple's domain ccs.exe
文件大小:
968.00KB
MD5:
cde27892f036385469647b11150cda0d
SHA1:
6627ca058f624a26fa9e435e2b65e53838290922
SHA256:
588e4c9c3acb8c30dc962cc0825eb783c8ecbdf65b0f45fe52f0e3d3e0e489fb
文件路径:
C:\Purple's domain ccs.exe

filedriver.sys
文件大小:
14.89KB
MD5:
6bcf4a93862355b1863712747364df36
SHA1:
c6aa90b73ee4cfc5b5569a9ffa437e59c40aa80d
SHA256:
38c80d91daf73ac66db7e75a2d83c2d25987b390b17a14ddfb4af1d1bd8f720a

51.bat
文件大小:
140B
MD5:
b15a3aea69c7d2b0f6b2d644017ee7ff
SHA1:
2d74eff58e970f592a4969f9cc29b79714e45330
SHA256:
5b26c64e353f57b8c0c823256ffb0d8e0872c929bc5143d5e2f742a9612a2fc2
文件路径:
C:\Windows\System32\51.bat

9zz4saasa.bat
文件大小:
32B
MD5:
7cf834aeac59e6418ea33a128d030afa
SHA1:
9981c8952db8e81238af87d1a2b3dd027a1aad9b
SHA256:
3f581b602d556ff2d853bad80b4abd7568ad53d67c2f3f23ea6caeebfa7693df
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4saasa.bat

74.bat
文件大小:
171B
MD5:
4a420e0bbbb7def5688f91ebaf97c077
SHA1:
93fde0f0d79847ec2ab0872adc1e8903253a37b1
SHA256:
4375cd63dbd28795dd2c22976df9439b1414545a4365c32a3c3c29dd07150d21
文件路径:
C:\Users\Admin\AppData\Local\Temp\74.bat

9974.bat
文件大小:
30B
MD5:
c25c11b2917b816bd82c8955ece57d57
SHA1:
314f7996a0c0efdf0fc8e278d4261a65dadbdfbe
SHA256:
98eb75ff4aa74d9485689f650af8d39ea97aaa1873197bbb809ae909300ce666
文件路径:
C:\Users\Admin\AppData\Local\Temp\9974.bat

9zz4.bat
文件大小:
32B
MD5:
d3f8d3a268cb9bff03fd6cd8a75d5b81
SHA1:
81a6c524ac6cb76456ab0a4fa5a6df405d284313
SHA256:
d1e2444221ec2be6ae66e9e4138ab31bf05db05aa1218f5fff7f820bc4cd6ef2
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4.bat

9zz4sa.bat
文件大小:
32B
MD5:
d0f4d2a0c7284a1c7ae95eeb2fa65e4e
SHA1:
89a9888c831f7769c96d8b73296570e25f7f17c1
SHA256:
11f3714ea716c36d0828e81d69c719d2068adc8ff13aac79770e9e5e55d1cdaf
文件路径:
C:\Users\Admin\AppData\Local\Temp\9zz4sa.bat

zasa.bat
文件大小:
58B
MD5:
3b3ac5ea23b09c04cb5288ac85552609
SHA1:
631b52461486c02f85d68b9d9ba1e0ddf66870be
SHA256:
627f218efc83b057cacd72556f8ebc904e6ede973c8d273e02689d24bbddc404
文件路径:
C:\Users\Admin\AppData\Local\Temp\zasa.bat

z999asa.bat
文件大小:
40B
MD5:
e809d173a0979664650477db643937b1
SHA1:
81c23631d02e4bb2ae3414770fe312757d3767ce
SHA256:
aa5f53612e40a3fa626a3eade5dd51efe7e6ec257bc529255860097f14aa2f51
文件路径:
C:\Users\Admin\AppData\Local\Temp\z999asa.bat

966.bat
文件大小:
32B
MD5:
58da064cd8c998a3515c7432b8b426c4
SHA1:
047c58abaf8ecd5dba1c00ec0281b1d1b99d0084
SHA256:
9a49179768b20570c56636575d400dbd6b026f54c730da21ba26f46006dc55bf
文件路径:
C:\Users\Admin\AppData\Local\Temp\966.bat

reg.bat
文件大小:
139B
MD5:
90fe0b90fc4efc1404e0150be44b05f6
SHA1:
96e8e6b4feef165e52483e801cf4c27d48f6c19b
SHA256:
fafd0784ebe06ac5677becf743a5391f153e03814b79140e6802b444fd49237b
文件路径:
C:\Windows\System32\reg.bat

帐号		自动登录	找回密码
密码			注册[Register]

误下载了一个锁机软件，被锁了

免费评分

个人中心