👉如何检测你的剪映:是否存在后门账户或后门程序
如何检测你的剪映:是否存在后门账户或后门程序:
 |
复制以下链接到浏览器打开,激活即可 激活教程:https://p.kdocs.cn/s/xxxxxxxxxxxxx为防止病毒传播,不提供下载链接
5♥好评自动赠送8000+剪映模板素材+剪辑教程+全网影视会员
被感染机器的 C:\ProgramData\目录下会有Synaptics目录,其下包含原始的恶意样本,但是图标不固定(图标会更新为最近一次运行被感染exe文件的图标),病毒生成的大部分文件都将其设置为 隐藏文件和系统文件(Exlporer设置显示隐藏文件和系统文件或命令行下attrib即可看到)。 另外C:\ProgramData\Synaptics这个路径可以直接访问到,但是无法在C:\ProgramData\路径下直接看见,勾选文件属性中的“隐藏项目”也不行,后续处理中是发现可以直接在终端里执行rm指令删除
Step 1: 斩断父进程 (Process Termination)
必须优先终止病毒父进程,防止其在清理文件时反复自愈。
PowerShell
stop-process -Name "Synaptics" -ForceStep 2: 强制移除驻留目录 (File Purge)
UI 界面无法操作时,利用终端绕过属性限制:
Bash
# 在终端执行删除指令 rm -rf "C:\\ProgramData\\Synaptics"
Step 3: 注册表清理 (Persistence Removal)
手动或脚本删除注册表启动项:
- 路径:
HKLM\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\ - 动作:删除
Synaptics键值。 - 感染以后有以下特征:
1、存在Synaptics进程;
2、存在C:\ProgramData\Synaptics\目录,且这个目录被修改为隐藏属性
3、注册表"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\”存在“Synaptics”键值
4、发起对xred.mooo.com的连接 故先对其父进程Synaptics进行终止,然后通过终端执行rm指令对C:\ProgramData\Synaptics\目录进行删除,再对注册表进行修复,最后要做的就是对被感染文件进行修复了
regedit命令查看当前用户的开机启动项,需找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
查看系统的开机启动项,需找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”路径
评论
发表评论