麻辣香锅病毒手杀思路

已于 2022-11-28 14:28:57 修改
阅读量3.4k 收藏 10
点赞数 2
分类专栏: 病毒处置 文章标签: 安全
于 2022-11-27 23:09:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46203901/article/details/128071398
版权

病毒清除 麻辣香锅病毒 恶意域名 系统安全 驱动删除
关键词由CSDN通过智能技术生成

麻辣香锅病毒:常见于激活工具或破解软件携带恶性病毒,会篡改/劫持用户浏览器主页,运行之后会将病毒文件释放到Mlxg_km目录下面所以命名为【麻辣香锅】。

1、现象与要求

病毒运行特征:
运行激活工具首页被劫持
在这里插入图片描述
在这里插入图片描述

1)通信du.testjj.com恶意域名。
2)消除浏览器劫持情况,恢复正常主页

2、处置方法

2.1、病毒释放目录

在这里插入图片描述

使用命令fltmc(查看筛选器)、sc(删除服务)

恶意程序目录:C:\Users\admin\AppData\Local\Temp(有一个xiaoma.exe,还有一个R服 务对应的exe) 
恶意驱动目录:C:\Windows\System32\drivers(四个随机名驱动) 恶意程序目录:C:\Users\admin\AppData\Local\Microsoft\Event Viewer(有四个exe需要删 除)

此处我们用工具来一个个看一下:
根据已知的R服务定位恶意程序。然后确定JXX.exe文件,创建时间为2022年3月26日19:08分左右
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
这几个不删,再开浏览器都会拉起sys
在这里插入图片描述

2.2 清除过程

1、使用fltmc命令查看异常筛选项,可发现两个高度十分异常的筛选器。
在这里插入图片描述

2、使用pchunter查看内核回调,根据异常的筛选器,删除异常回调。(类型为:Cmpcallback,此处截图红框打的有些许错误。)
在这里插入图片描述
在这里插入图片描述

3、使用Process Hacker找到麻辣香锅病毒释放的一个服务:R,使用ProcessHacker进行确认进程位置,进行删除,删除命令如下:

sc query R    //搜索服务是否存在
sc stop R    //停止服务
sc delete R    //删除服务

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
4、在C:\Windows\System32\drivers目录找到对应的驱动,使用sc命令搜索、删除驱动对应创建的服务等
在这里插入图片描述
5、删除异常驱动对应的服务

sc query R    //搜索服务是否存在
sc stop R    //停止服务
sc delete R    //删除服务

在这里插入图片描述
在这里插入图片描述

6、删除对应驱动文件
在这里插入图片描述
7、在C:\Users\admin\AppData\Local\Microsoft\Event Viewer里删除四个文件

在这里插入图片描述

综上,整体思路为:

  1. 确定异常sys【使用部分软件可以看到“Windows Commad/Windows命令处理程序”的描述】
  2. 删除恶意筛选器的回调
  3. 删除恶意筛选器
  4. 删除R服务和对应的程序
  5. 删除恶意驱动的服务和恶意驱动本身
  6. 删除Event Viewer里的文件
淅沥沥的阿努
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
麻辣香锅(Spicy Hot Pot)浏览器劫持病毒应急方法
不忘初心,护天下安全!
06-09 5266
Spicy Hot Pot浏览器劫持病毒麻辣香锅病毒)从2020年初被安全公司监测到,因其病毒模块带有MLXG_KM被安全行业代称麻辣香锅病毒麻辣香锅病毒通过各种激活工具传播, 包括暴风激活、小马激活和KMS激活等诸多工具,疑似已与下载站进行合作推广此类激活工具。参考:激活工具散播锁首病毒麻辣香锅“ 诱导用户退出安全软件 - 知乎该病毒劫持流程为:阻止浏览器进程加载安全模块,随后进程创建回调,在用户启动浏览器时通过增加命令行的方式劫持浏览器主页。因此当打开浏览器后,出现以下情况,可以判断感染:1.用户
麻辣香锅病毒分析
不忘初心,护天下安全!
06-14 3888
Spicy Hot Pot浏览器劫持病毒麻辣香锅病毒)从2020年初被安全公司监测到,因其病毒模块带有MLXG_KM被安全行业代称麻辣香锅病毒。目前通过各种激活工具传播, 包括暴风激活、小马激活和KMS激活等诸多工具,疑似与下载站进行合作推广此类激活工具。Spicy Hot Pot 是一个浏览器劫持 Rootkit,它会将用户的主页更改为指向恶意软件操作员控制的页面,此外还会将内存转储从机器上传到预定义的服务器,并结合本地更新功能以确保其保持更新。通常浏览器劫持者会通过更改用户主页的恶意可执行文件或注册表
麻辣香锅病毒处置
剁椒鱼头没剁椒的博客
12-07 1953
这里我分析一下全过程,这个过程中确实,有不少是参考别人文章来处理的,不过,我发现,删除完后,依旧这些程序还是会存在,比如回调文件、执行模块都会存在,但是杀毒软件却查杀不出来。可能是由于是有一定的随机性的,杀毒软件无法识别出来,但是主要目录确实都杀了。
探索Windows安全边界:EventViewer-UACBypass深度剖析与应用
最新发布
gitblog_00093的博客
06-09 889
探索Windows安全边界:EventViewer-UACBypass深度剖析与应用 项目地址:https://gitcode.com/CsEnox/EventViewer-UACBypass 在安全研究的深海中,有一颗璀璨的技术明珠——EventViewer-UACBypass,它揭示了通过不安全的.NET反序列化利用Windows事件查看器实现绕过用户账户控制(UAC)的技术细节。这不仅是一次...
电脑发现感染麻辣香锅恶意软件咋处理?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
01-11 1904
联想E14Win10 专业版。
记录“麻辣香锅病毒处理过程
weixin_45939851的博客
02-15 8604
麻辣香锅病毒处理
hao123电脑版主页_警惕最近流行的「麻辣香锅病毒,它会劫持你的浏览器主页!...
weixin_39934085的博客
11-14 1199
据国家计算机病毒应急处理中心的最新公告显示,通过对互联网的监测,发现暴风激活工具15.0携带恶性病毒劫持用户浏览器主页。由于该木马运行之后会将病毒文件释放到Mlxg_km目录下面,故根据其大写字母命名为「麻辣香锅病毒。分析发现,本次截获到的「麻辣香锅病毒所释放的所有病毒文件均携带伪造的数字签名,并以此顺利躲过系统检测。同时,360安全安全大脑监测日前也在暴风激活工具中截获到了「麻辣香锅病毒 ...
windows平台下常用命令
struborn_b的博客
06-05 297
1:结束进程 taskkill -F /IM process.exe 2:服务的起停 net servername start|stop|status 3:驱动的安装卸载 fltmc load|unload *sys
2019-2025年中国麻辣香锅店行业转型升级战略制定与实施研究报告.pdf
04-28
2019-2025年中国麻辣香锅店行业转型升级战略制定与实施研究报告.pdf
火锅串串PPT模板
07-15
这是一套火锅串串主题的餐饮行业PPT模板,共26张; 幻灯片模板使用了一张木纹桌面作为背景图片。在封面,放置了一个火锅串串图片,左侧使用艺术字体填写火锅PPT标题。 PowerPoint模板内容页,由24张红色白色搭配的...
hrkill-1.0.0.62.exe
07-14
查杀各类恶性顽固病毒扫描出来的可疑的东西火绒自动处理,特别是真的流氓浏览器持劫行为,2345浏览器的流氓行为,解决浏览器首页劫持类等病毒,解决例如“打不开页面”、“主页被篡改”、“网址不断刷新”等问题。...
火锅主题PPT模板
07-15
左侧放置白色麻辣鲜香火锅PPT标题。在寒冷的冬季如果能吃上这么一顿火锅,那是一件多么美好的事情呀。 PowerPoint模板内容页,由22张红色棕色搭配的幻灯片图表,搭配PPT文字排版。另外使用了多张火锅插图装饰。 本...
Windows7系统fltMC.exe文件丢失问题
amio555的专栏
12-24 968
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个fltMC.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现fltMC.exe丢失要怎么解决?
Win7系统提示找不到fltMC.exe文件的解决办法
file
02-29 647
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个fltMC.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现fltMC.exe丢失要怎么解决?
中了挖矿病毒
weixin_38946164的博客
06-17 1972
最近一台服务器运行超级慢,任务管理器查看CPU占用100% ,使用autoruns.exe工具查看到异常任务和进程。 打开文件路径还发现以下文件,config.json , c3a.bat , wina.exe config.json 代码如下: { "api": { "id": null, "worker-id": null }, "http": { "enabled": true, "host": "127
360杀毒扫描全盘不到几秒就结束了,无法扫描杀毒,疑似中毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-11 3158
环景: win10 专业版 激活工具暴风激活15.0 问题描述: 打开360杀毒扫描全盘不到几秒就结束了,不扫描全面,无法扫描杀毒 原因分析: 估计中毒了,新装系统,就用了激活工具 激活工具暴风激活15.0是否带病毒 解决方案: 度娘搜索相关资料发现有一款名叫“麻辣香锅”的首页锁定病毒 病毒感染用户电脑后会将首页劫持为“http://**?.****111.top”(“?”为任意数字) 改用360系统急救箱 强力模式杀毒 C:\Users\Administrator\AppData\Local\Micros
安全事件管理处置——操作实例
weixin_54055099的博客
09-30 1433
安全事件管理与处置的操作实例
请即与python语言,编写一个"今天吃哪家外卖"的决策程序,可供选的种类有米饭、面条米粉、快餐;在米饭的种类下,包括辣和不辣两种口味,辣的外卖包括和搅浑麻辣香锅、曹氏鸭脖、青于蓝麻辣香锅,不辣的外卖有留学生餐厅的咖喱饭、于子村蜜汁拌饭、芝士焗饭;在面条和粉的种类下,包括辣和不辣两种口味,辣的口味有东北麻辣麻辣烫、米字格米粉、大铁牛螺狮粉,不辣的口味有自古鲁班分、西部马华牛肉面、淮南牛肉汤;快餐可选择打没了、德克士、肯德基、麦当劳,汉堡王。在此基础上随机出现外卖,并且同时输出外卖的图片
04-24
好的,我来帮您编写这个决策程序。以下是 Python 代码: ``` import random from IPython.display import Image # 定义可供选择的外卖种类和口味 foods = { "米饭": { "辣的口味": ["和搅浑麻辣香锅", "曹氏鸭脖", "青于蓝麻辣香锅"], "不辣的口味": ["留学生餐厅的咖喱饭", "于子村蜜汁拌饭", "芝士焗饭"] }, "面条米粉": { "辣的口味": ["东北麻辣麻辣烫", "米字格米粉", "大铁牛螺狮粉"], "不辣的口味": ["自古鲁班分", "西部马华牛肉面", "淮南牛肉汤"] }, "快餐": ["打没了", "德克士", "肯德基", "麦当劳", "汉堡王"] } # 随机选择外卖 food_type = random.choice(list(foods.keys())) if food_type == "米饭": food_taste = random.choice(["辣的口味", "不辣的口味"]) food_name = random.choice(foods[food_type][food_taste]) else: food_taste = random.choice(["辣的口味", "不辣的口味"]) food_name = random.choice(foods[food_type][food_taste]) # 输出外卖名字及图片 print("今天吃 " + food_name) Image(filename='./' + food_name + '.jpg') ``` 说明: - 定义了一个字典 `foods`,包含了可供选择的外卖种类和口味。 - 使用 `random` 模块的 `choice` 函数,随机选择外卖。 - 使用 `IPython.display` 模块的 `Image` 函数,输出外卖的图片。其中图片需要与代码文件在同一文件夹下,并且图片的文件名需要和外卖名字相同,加上 `.jpg` 后缀。 - 您可以将代码保存在 `.py` 文件中,使用命令行运行程序,或者在 Jupyter Notebook 中运行代码块。运行时可能需要安装 `IPython` 或者其他相关的额外模块。 希望我的回答能够帮到您!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值