遇到勒索病毒

lizf2019 13天前 11

[Asm] 纯文本查看 复制代码
@echo offFOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%VIF (%adminTest%)==(Access) goto noAdminfor /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")echo.echo goto theEnd:do_clearecho clearing %1wevtutil.exe cl %1goto :eof:noAdminexit

不知道什么时候开了个软件
文件就变成了xx.xx.id[xxxxx].[xx@.com]病毒似乎是通过C这个MD脚本加密的,源码在上面了,求大佬支招
最新回复 (18)
  • azusys 12天前
    引用 2
    多多利用百度···刚刚百度了一下 这个代码貌似是删除系统日志用的
    wevtutil 命令参数如下命令        意义        注释
    el        enum-logs        列出日志名称
    gl        get-log        获取日志配置信息
    sl        set-log        修改日志配置
    ep        enum-publishers        列出事件发布者
    gp        get-publisher        获取发布者配置信息
    im        install-manifest        从清单中安装事件发布者和日志
    um        uninstall-manifest        从清单中卸载事件发布者和日志
    qe        query-events        从日志或日志文件中查询事件
    gli        get-log-info        获取日志状态信息
    epl        export-log        导出日志
    al        archive-log        存档导出的日志
    cl        clear-log        清除日志

    清除日志后
    运行goto :eof 命令后
    CMD返回并将等待下一条命令以下代码来自百度[Bash shell] 纯文本查看 复制代码
    3]使用CMD删除事件日志文件要清除所有内容,请启动记事本软件,然后复制并粘贴以下来自MSDN的信息:@echo offFOR /F “tokens=1,2*” %%V IN (‘bcdedit’) DO SET adminTest=%%VIF (%adminTest%)==(Access) goto noAdminfor /F “tokens=*” %%G in (‘wevtutil.exe el’) DO (call :do_clear “%%G”)echo.echo Event Logs have been cleared!goto theEnd:do_clearecho clearing %1wevtutil.exe cl %1goto :eof:noAdmin确保将数据保存为.CMD文件,然后最后右键单击保存的文件并选择以管理员身份运行。 从那里,命令提示符应该自己启动,你需要做的就是让它完成它的工作。
  • DualCore 12天前
    引用 3
    ienzoo 发表于 2020-6-28 18:03
    我也是醉了,前两三天论坛下了一个E速达的淘宝发货软件,中木马了,凌晨5点左右被远控盗刷了1000多,还有多 ...

    是不是这个人发的?如果是,那他应该解释一下:
    https://www.52pojie.cn/thread-1209089-1-1.html
  • EnterpriseSolu 13天前
    引用 4
    wevtutil.exe
    这是什么进程,扫一下病毒
  • Mis_Q 13天前
    引用 5
    。。你能找到源码,还知道怎么加密的,就已经比我厉害咧。等一个大佬来。。。
  • flytoskygao 13天前
    引用 6
    大佬们 快来秀技能吧 小白在此求学ing
  • Abrahams 13天前
    引用 7
    蹲一个大佬。。。
  • lxhwan100 13天前
    引用 8
    来学习怎么搞定的
  • 羽墨轩 13天前
    引用 9
    插个眼,等大佬过来
  • greyword 13天前
    引用 10
    坐等大佬收场
  • hinome 13天前
    引用 11
    想知道开了啥软件。。
    坐等大佬收场
  • 阿杰曾爱 13天前
    引用 12
    想知道开了啥软件
  • 魔道书生 13天前
    引用 13
    xpmg 发表于 2020-6-28 07:27
    想知道开了啥软件

    哈哈有内味了
  • azusys 12天前
    引用 14
    多多利用百度···刚刚百度了一下 这个代码貌似是删除系统日志用的
    wevtutil 命令参数如下命令        意义        注释
    el        enum-logs        列出日志名称
    gl        get-log        获取日志配置信息
    sl        set-log        修改日志配置
    ep        enum-publishers        列出事件发布者
    gp        get-publisher        获取发布者配置信息
    im        install-manifest        从清单中安装事件发布者和日志
    um        uninstall-manifest        从清单中卸载事件发布者和日志
    qe        query-events        从日志或日志文件中查询事件
    gli        get-log-info        获取日志状态信息
    epl        export-log        导出日志
    al        archive-log        存档导出的日志
    cl        clear-log        清除日志

    清除日志后
    运行goto :eof 命令后
    CMD返回并将等待下一条命令以下代码来自百度[Bash shell] 纯文本查看 复制代码
    3]使用CMD删除事件日志文件要清除所有内容,请启动记事本软件,然后复制并粘贴以下来自MSDN的信息:@echo offFOR /F “tokens=1,2*” %%V IN (‘bcdedit’) DO SET adminTest=%%VIF (%adminTest%)==(Access) goto noAdminfor /F “tokens=*” %%G in (‘wevtutil.exe el’) DO (call :do_clear “%%G”)echo.echo Event Logs have been cleared!goto theEnd:do_clearecho clearing %1wevtutil.exe cl %1goto :eof:noAdmin确保将数据保存为.CMD文件,然后最后右键单击保存的文件并选择以管理员身份运行。 从那里,命令提示符应该自己启动,你需要做的就是让它完成它的工作。
  • ienzoo 12天前
    引用 15
    我也是醉了,前两三天论坛下了一个E速达的淘宝发货软件,中木马了,凌晨5点左右被远控盗刷了1000多,还有多笔未支付成功的。。昨天已经报警了,可以查到对方的充值ID,警察说可以通过ID获取身份信息
  • xpmg 12天前
    引用 16
    ienzoo 发表于 2020-6-28 18:03
    我也是醉了,前两三天论坛下了一个E速达的淘宝发货软件,中木马了,凌晨5点左右被远控盗刷了1000多,还有多 ...

    真的假的啊……本论坛?
  • DualCore 12天前
    引用 17
    ienzoo 发表于 2020-6-28 18:03
    我也是醉了,前两三天论坛下了一个E速达的淘宝发货软件,中木马了,凌晨5点左右被远控盗刷了1000多,还有多 ...

    是不是这个人发的?如果是,那他应该解释一下:
    https://www.52pojie.cn/thread-1209089-1-1.html
  • ienzoo 12天前
    引用 18
    DualCore 发表于 2020-6-29 08:19
    是不是这个人发的?如果是,那他应该解释一下:
    https://www.52pojie.cn/thread-1209089-1-1.html

    前几天举报区我有发帖子了
  • ienzoo 12天前
    引用 19
    xpmg 发表于 2020-6-29 07:18
    真的假的啊……本论坛?

    是啊,前几天举报区我发帖子了
  • 游客
    20
返回