中了会退掉杀软并且远程的银狐木马 已经解决给大家参考

VincentHu

更新:
        基本有了结果.  
  (感谢老哥们指点, 基本上告一段落,我对病毒做了备份,后续有空了还是会试一下怎么把它强制关闭的杀软, 重新运行起来有进展会更新)     


今天360企业技术人员  跟我要了软件的日志.   



C:\Program Files (x86)\360\360Safe\ipc\
该目录下主要取galaxy.dat、galaxy2.dat、monstate.dat三个文件


提供过去之后,  得到如下回复.           病毒是银狐木马    360软件可以正常拦截.  (但是其实最关键的是360先被远程直接干掉了)
......................

是这样的，已经确认中的就是银狐木马，这个家族的攻击方式我们已经出过好几次的报告，您可以看下，
https://www.360.cn/n/12476.html
https://www.360.cn/n/12373.html
https://www.360.cn/n/12400.html
如果是已经安装了360产品的机器，这种木马在入侵的时候会被拦截，
但从时间线上看，您这台机器是15号装的安全云，装360之前是没有云端日志的，在装了之后也没有看到有这类木马病毒的下载记录，也就是基本确定是在装360之前就已经被入侵了，被入侵后会主流在电脑的计划任务里，开机的时候还没等360起来它就已经开始运行了，所以终端用户没有退出过360 但其实已经被木马先行一步了

..........................

总结一下就是,   
1. 360在能运行情况下 (比如安全模式)  完全能杀掉.  (与我实际测试相符.  实际也确实扫出来  杀掉了)
2.我把这个病毒解压出来, 摆在火绒面前.    根本认不出来这是毒.   是毫无作用的    但是如果有互相传播, 火绒这方面监控还是很好用的.  
3.客服效率还可以,  但是我感觉病毒分析,  我感觉没有火绒   团队做的 专业,   我其实是希望他们直接用我这份,  来脱壳之后直接分析的.  但是只给了我一个案例.  
毕竟我是批量付费用户.  这个解决方法我只能说一般般.    凑合能接受  .  
4.据我了解,  这种类型的病毒.   杀毒软件几乎全部毫无作用.   
5.  出事之后最简单,  其实是直接安全模式     我前期在定位异常进程花了大量时间和精力, 而且还看了很久的  系统日志.   其实直接进安全模式, 直接开杀就完事儿了.   




  再次提醒.  


    我这次只是遇到了最轻微的一个情况.     只是微信购物群发广告后退群.    大家注意安全






疑似文件在这.  密码是52pojie     

这是疑似病毒文件    不会操作的不要随便打开哈  
这是疑似病毒文件    不会操作的不要随便打开哈  
这是疑似病毒文件    不会操作的不要随便打开哈  

https://www.123pan.com/s/H1N8Vv-k5rC3.html


更新:  
             在进程里看到了奇怪名字的进程, 然后再 C:\ProgramData  隐藏文件夹里找到了这个文件   
同时360系统急救箱也扫描报出了这是个病毒.  中毒之后,  所有杀毒软件是无法运行的,   会被直接强制退出.    我尝试在安全模式可以使用杀软     

  万幸这不是勒索目前也没有互相传播的现象.   我把几个疑似有问题的文件 打包,一会提交给360企业客服那边的技术人员,等等看他们的消息.      

但是到现在为止还是没解决它不停地干掉   杀毒软件这个问题,   使用者一直踏马的在问啥时候能好,    只能备份出确定有用的文件,系统加上硬盘全部格式化了

这种使用者真的是处理这种问题最大的障碍.      我把整个系统c盘做了镜像,  晚点恢复到我自己测试电脑里, 看看到底怎么解决它  退出杀软的问题.   

   


昨天收集好的疑似病毒.   在自己电脑分别扫描了一下

火绒没报警

360报了      



   





在抖音  找到了几乎一模一样的情况   

8.74 vsr:/ r@R.KJ 08/18 电脑被病毒入侵，微信被远程操作，大家最近要注意“2024税务新系统”命名的病毒载体，遇到千万不要点开，完成经济损失就惨了😭 https://v.douyin.com/iMMqXc1Q/ 复制此链接，打开Dou音搜索，直接观看视频！    大家可以参考一下   






使用者描述．　　


在安装360的情况下,   360的主动防御不知道怎么　　被关掉了　ｄｅｆｅｎｄｅｒ也被关掉了　　

　　　系统有个比较奇怪的进程，占用ｃｐｕ还不低，　而且文件位置是在ｄａｔａ文件夹隐藏的，　无法结束　

但是这几天的系统更新，　又跟这个奇怪的进程名字很相似．　　　　


然后有人直接操作我的电脑,    txt文本里放了加群的引流广告      还有一个二维码图片

发到了几个购物群,  然后把这几个微群,给我退了..    然后txt删掉, 清空回收站了

我发现之后断网,  剩了一个txt在回收站   里面就是引流一个微信群的广告词


我加了那个微信群,  就是个普通群 也没人发言



这是种了木马被远程了吗?　

　　　我目前是处理方法，　是打算先把这块硬盘，挂载到测试机，　用３６０杀毒和火绒，同时查杀一下　　

然后再看具体是什么问题　

能拜托大家　　　给我一点思路吗

gbawrc

谁操作你的电脑

VincentHu

gbawrc 发表于 2024-7-19 19:16
谁操作你的电脑

不知道,  使用者说, 看到有人往微信群里发广告,然后退群   
并且把 广告文本   拖到回收站清空

我点进去回收站看了, 确实有广告的txt在里面

weindy

360都被关了不应该先去找360社区求助吗

cl12121

啥系统呀？

hayse

啥系统版本，系统补丁有没有按时打，有没有用很多破解奇怪的软件

雨季不再来

重装系统吧

tide~

没中勒索病毒就算有救；
还能退群？活久见了

xxyyy159

公网？
这几天点了奇奇怪怪的文件？
一般要查开机自启动的项目（包括注册表、开始菜单和计划任务的启动项）
能找到那个奇怪进程的源文件就进PE把它移动到别的地方，然后开机云扫描这个文件看看
不放心还是重装系统吧

shalei2004

360不是开机自动启动么？

VincentHu

xxyyy159 发表于 2024-7-19 23:25
公网？
这几天点了奇奇怪怪的文件？
一般要查开机自启动的项目（包括注册表、开始菜单和计划任务的启动项） ...

嗯  明天先去杀一下这个进程文件试试看到底是什么

VincentHu

weindy 发表于 2024-7-19 19:59
360都被关了不应该先去找360社区求助吗

已经跟360这边对接的联系上了, 明天杀一下看看具体情况,  

12号

https://www.52pojie.cn/thread-1887874-1-1.html
参考一下，前几个月公司有台电脑跟你情况差不多，病毒就是链接里这种，会远程会截图，截图保存在C盘的programdata的一个文件夹里，还有users\pulic\里面也有很多乱码文件夹，会添加开机启动

大概率是下载并打开了了奇奇怪怪的东西

反正我是全格盘重装了

VincentHu

12号 发表于 2024-7-19 23:46
https://www.52pojie.cn/thread-1887874-1-1.html
参考一下，前几个月公司有台电脑跟你情况差不多，病毒就 ...

十分感谢,  programdata   感觉跟我今天路径相似, 然后是一个类似乱码无规则的名字, 并且隐藏状态    已经断网断电,明天过去把磁盘挂载到测试机,   详细看一下   

hemlock

之前公司试过，微信自己拉群发广告然后退群，都不知道怎么中的病毒

VincentHu

hemlock 发表于 2024-7-20 15:27
之前公司试过，微信自己拉群发广告然后退群，都不知道怎么中的病毒

网上搜了一下,  大多是扫了二维码,或者点了类似小程序的链接
中了远程的木马   

8.74 vsr:/ r@R.KJ 08/18 电脑被病毒入侵，微信被远程操作，大家最近要注意“2024税务新系统”命名的病毒载体，遇到千万不要点开，完成经济损失就惨了😭  https://v.douyin.com/iMMqXc1Q/ 复制此链接，打开Dou音搜索，直接观看视频！

这是跟我情况完全一样的别人的视频

xidshow

装个卡巴斯基免费版，查杀开高，杀一遍试试看。

redog

这种得先记录一下干净的系统下所有的启动项目，包括服务、驱动、右键菜单等，然后主动感染病毒，去对比有没有新增加启动项，或是哪个启动项的hash值变了。
现在能扫描出来的都是后续的进一步攻击的病毒。
当然你直接给杀毒公司的客服让他们解决就好了，他们肯定更专业，等更新就行。

-----------------
对了工具可以用：SysinternalsSuite里面的procmon（可以监视感染时系统做了什么操作），autoruns（检查启动项），TCPview（显示当前系统的连接）这些。
这种反复出现其实就是有一个释放的病毒文件没有找到，找到后干掉就不会反复出现了，当然病毒可能还会再套娃有对这个释放病毒文件的保护，继续找就是了。实在找不完也没事，只要能定位一个有固定名称的病毒运行文件，免疫生成这个文件基本就可以了，更深的暂时不管，等杀软更新。

Darylyexu

好，这就下载了丢到公司内网一份

VincentHu

Darylyexu 发表于 2024-7-21 11:22
好，这就下载了丢到公司内网一份

我嘞个豆.

VincentHu

redog 发表于 2024-7-21 09:00
这种得先记录一下干净的系统下所有的启动项目，包括服务、驱动、右键菜单等，然后主动感染病毒，去对比有没 ...

感谢感谢,  目前使用者着急用, 我们处理方式就是重做系统,  只复制走认识的文件,  所有系统文件都不保留   全部硬盘格式化   

目前用着还可以,  我把他有毒的系统完整镜像了一份, 准备晚点放到自己测试机里,   看看怎么彻底解决掉这个问题, 同时也给360企业安全的人发了,  但是他们周一上班才能处理,  吾爱我也发了,  看看到时候有进度, 我更新一下   

这个问题其实可大可小, 对方好在是只发了垃圾广告
没做加密文件勒索的行为.  还是听后怕的

VincentHu

xidshow 发表于 2024-7-21 08:52
装个卡巴斯基免费版，查杀开高，杀一遍试试看。

嗯嗯嗯嗯嗯嗯嗯嗯嗯嗯

大地飞鹰

学习了，居然还有专发广告的病毒~~~

VincentHu

大地飞鹰 发表于 2024-7-21 13:47
学习了，居然还有专发广告的病毒~~~

有的 网上案例很多
只是对方  只想发广告   只要他想, 完全可以给文件全部加密的   

因为那时候已经可以完全远程控制你的主机了

hlhaidy

什么360火绒就是吹的厉害我表弟的电脑之前中了个病毒最后还是用的诺顿杀掉的

Nospel

一年前中过类似的，随Hard Disk Sentinel激活程序运行埋进系统里，不报毒，自己发现后手动彻底清除了。分析是个挖矿程序，但可能是被墙了，没能连上主控端发挥作用就被发现了，虽说在系统了里应该存活了有两个多月。

现在养成了更良好的习惯，凡事来源存疑的程序先丢virustotal.com、virscan.org扫过之后初步判断一下，忍不住还要用就丢快照保护的虚拟机里运行看看

大地飞鹰

Nospel 发表于 2024-7-21 15:31
一年前中过类似的，随Hard Disk Sentinel激活程序运行埋进系统里，不报毒，自己发现后手动彻底清除了。分析 ...

好习惯~~~