首页 › IT技术› 热点问题 › 查看内容

又一个伪造易乐游程序搞破坏

热点问题 1737 0 2020-11-13 18:13

问题环境：易乐游 2.3.4.1版本问题现象：开机启动项有个未知的易乐游控制台图标的程序。问题排查：先看下属性，乍一看易乐游的，问了下易乐游的技术没有出过相关补丁。开下杀毒程序运 ...

问题环境： 易乐游 2.3.4.1版本

问题现象：
开机启动项有个未知的易乐游控制台图标的程序。

问题排查：

先看下属性，乍一看易乐游的，问了下易乐游的技术没有出过相关补丁。

开下杀毒程序运行下看看，直接报毒。

准备看下生成的文件签名，好家伙，在C:\windows\system\Lu3XXeLxROdDA45B目录下创建并允许Lu3XXeLxROdDA45B.exe 后就直接删除了Lu3XXeLxROdDA45B.exe，连运行的程序.exe那个文件也删除了。

复制了一份下载的程序看了下系统文件描述，系统文件？？？

过来二十来分钟直接删除了e-yoo目录的所有文件（随机出现），这个操作，妙呀！

看了下这个伪造程序下载器访问的地址：

看了下IP地址：

国内的IP地址，顺着网线不就找到了破坏者了。。。

问题解决：

1、直接删除对应的开机启动项。
2、将下方代码复制后添加到特征码拦截
3、路由上屏蔽slesr.com域名。

复制代码

原作者: RECKY

上一篇：客户机长时间无操作系统被屏幕保护

下一篇：win10也能安装的SQL2000

账号		自动登录	找回密码
密码			注册