公司傻逼销售中了远控，有啥办法能删掉吗？

玉藻前

https://wwa.lanzous.com/iUilOoahljg

传个上来给大家看看
别点开哈。公司里的销售，被同行搞了。
真的好多人一点电脑基础都没有的...啥都不知道，直接点开。也是厉害。
他点开后我看了眼，任务管理器无异常，也就没管他。
没想到潜伏几天，今天电脑就被控制了。

https://r.virscan.org/language/zh-cn/report/021fc97664440bfec9fe63dac1ffea85
扫描结果:0%的杀毒软件(0/50)报告发现病毒
还挺厉害，免杀的。

想拖到虚拟机看一下，结果不给虚拟机玩。难受。
闲置硬盘在老家，不然整个玩一玩。




明天去公司。我只能用IP雷达之类的看网络链接，也没其他好法子...
找不到就重做系统咯

loc大神多，看看有没有更好的法子

gyjys43043

这么晚就不做逆向了，随便在anyrun里面跑了下

运行释放两个文件
C:\Windows\SysWOW64\Dtldt.exe
C:\Users\admin\Desktopwegejwgewew.exe

会改注册表
HKEY_LOCAL_MACHINE\SYSTEM\Select
HKEY_USERS\.DEFAULT\Software\Microsoft\ActiveMovie\devenum

会连域名huweihong.net, ip是206.119.81.199:8081
可能沙盒是美国ip，所以没办法下载剩下的恶意代码

具体的请看附件

dole

重做系统 UAC策略什么的拉满

Salta

看下自动启动进程，应该有，如果没有的话重启一下他就GG...

玉藻前

Salta 发表于 2021-4-19 23:02
看下自动启动进程，应该有，如果没有的话重启一下他就GG...

我就担心是注册表啥的。
是win10的，任务管理器-启动里面看吗
果然还是集思广益好，我就没想到这点，哈哈

玉藻前

朕的大清完了？ 发表于 2021-4-19 23:03
能让你骂人的 应该不是女的

那肯定不是女的。不过女的也骂

默契

拖到IDA里分析分析，另外这个检测虚拟机，可以换个过检测的虚拟机系统，我看你有吾爱的OD  可以去吾爱找个过检测虚拟机系统就可以调试了

默契

朕的大清完了？ 发表于 2021-4-19 23:06
那不一定，都能做到禁止虚拟机运行，那也可能伪装某一个系统服务，常驻系统 ...

检测虚拟机是加了SE的壳子，壳子检测的。

玉藻前

默契 发表于 2021-4-19 23:05
拖到IDA里分析分析，另外这个检测虚拟机，可以换个过检测的虚拟机系统，我看你有吾爱的OD  可以去吾爱找个 ...

我用的过检测的虚拟机，52专用
https://www.52pojie.cn/thread-341238-1-1.html
还是不行


截图是我之前用的普通虚拟机。不行我才换52的，也不行

lokinT

你应该发到52去让大佬 给他扒皮