这是一个创建于 3489 天前的主题,其中的信息可能已经有所发展或是发生改变。
裸奔多年的电脑(只开MSE)终于中毒了
win8.1 x64位
特征是:不能使用explorer打开zip文件,一打开就会自动重启explorer.exe
同样,控制面板里的:程序和功能、电源选项、个性化、分辨率、系统等和电脑设置相关的功能都打不开,症状类似,都是闪一下后explorer被重启。
使用命令行工具检查系统文件损坏,没有效果。
重启进入安全模式,没有效果。
基本确定是中毒了。
然后下载了360杀毒/卡巴斯基都没有作用。
win8.1 x64位
特征是:不能使用explorer打开zip文件,一打开就会自动重启explorer.exe
同样,控制面板里的:程序和功能、电源选项、个性化、分辨率、系统等和电脑设置相关的功能都打不开,症状类似,都是闪一下后explorer被重启。
使用命令行工具检查系统文件损坏,没有效果。
重启进入安全模式,没有效果。
基本确定是中毒了。
然后下载了360杀毒/卡巴斯基都没有作用。
 |
1
tux 2015-05-04 21:02:03 +08:00
重装还要快一些
|
 |
2
paradoxs 2015-05-04 21:08:17 +08:00
360系统急救箱右边那一列全部选项都走一遍。
然后勾起全盘+强力,开始扫描。 还是不行就重装吧。 |
 |
3
kiritoalex 2015-05-04 21:20:33 +08:00 via Android  1
xuetr或者powertool或者PChunter选其一.运行时会自动检查是否被Rootkit修改MBR.有则恢复之看一下进程,看有无可疑的未签名程序,如果没有就按A-Z的顺序排一下系统进程,依次检查threads.然后切换到驱动模块,检查有无可疑驱动,再检查SSDT,ShadowSSDT,看有无可疑挂钩,全盘遍历根目录,看有无autorun.inf.若有,参考Autorun病毒手动清除指南清除,若没有,下载一个rescue版的各大杀毒软件(卡巴,NOD32,推荐大蜘蛛,小红伞(不知道现在还有木有应急光盘了))在PE下扫描,全程请务必断网
|
|
4
kiritoalex 2015-05-04 21:21:29 +08:00 via Android
另外请务必检查IEFO是否被hijack掉
|
 |
5
lalalakakaka OP @kiritoalex 正在学着用pchunter
我能不能用这个工具监视程序行为?我想排查出来到底是哪个进程把我的explorer结束掉的。我想这样能快些~ |
 |
6
can 2015-05-05 08:38:22 +08:00 1
我怎么看着就不像是中毒,应该是有什么东西跟x64 8.1的explorer不兼容导致的,信的过的话用360安全卫士人工服务下的“explorer总是崩溃”修复下。别往病毒的方向想。
|
|
7
kiritoalex 2015-05-05 08:43:00 +08:00
@lalalakakaka 不能
你可以试着用process tracer来跟踪进程 |
|
8
can 2015-05-05 08:49:10 +08:00 1
http://support.icafe8.com/technologynews/focus/4837.html
用Windbg+PCHunter的方法时不要开太多程序,否则会很卡的 |
 |
9
shippo7 2015-05-05 08:49:59 +08:00 1
我也觉得不一定是中毒,可能是explorer.exe出现了问题。要确定是中毒至少要找到可疑进程/服务/启动项
|
 |
10
zouxy 2015-05-05 10:24:04 +08:00 1
内行不会问这个问题,外行还是重装比较简单.
|
|
11
lalalakakaka OP |
|
12
can 2015-05-05 13:28:12 +08:00 1
@lalalakakaka Windbg只是记录explorer要加载哪些模块,问题应该还在,如果操作正确的话。
那你直接在PCHunter的进程选项卡下看下explorer都加载了哪些dll,排除掉微软的,剩下的逐一分析下。 我觉得360安全卫士人工服务下的“explorer总是崩溃”就能解决问题。 |
|
13
lalalakakaka OP @can 在人工服务里没有找到“explorer总是崩溃”这一项~
|
|
14
can 2015-05-05 14:25:42 +08:00
这搜不到?
 |
|
15
lalalakakaka OP |
|
16
lalalakakaka OP @can 现在我整个人都要崩溃了。。难不成我装的360和你的360版本不一样。。
|
|
17
can 2015-05-05 14:46:01 +08:00 1
@lalalakakaka 版本不一样吧,只搜explorer呢。那你尽可能关掉所有无关的程序,打开PCHunter--进程--右击explorer.exe--查看进程模块--点文件厂商按厂商排序,看看都有哪些可疑的dll文件被加载了
|
|
18
lalalakakaka OP @can 依然搜不到~这个抽风抽的太奇怪了。难不成360对不同系统有兼容性检查,这个工具默认在win8.1x64上不能用?
对explorer下的模块排查下,没有数字签名的那几个我都看了,都没问题。现在是有很多dll是红色高亮的,这个不清楚是不是有问题。然后所有这些模块都不能手工卸载,一旦卸载就会导致explorer重启。 |
|
19
can 2015-05-05 15:00:46 +08:00
@lalalakakaka 红色显示的都是隐藏(异常)模块,你截个图呗
|
 |
20
Huadb 2015-05-05 15:06:16 +08:00 via iPhone
这个时候就没人喷360了
|
 |
21
sketch33 2015-05-05 15:06:28 +08:00
怎么中的
|
|
22
lalalakakaka OP <img src="
 "/>这只是一半不到 大概一半以上的签名为微软的dll都是红色的。 |
 |
23
hjc4869 2015-05-05 15:10:32 +08:00
Reinstall.
|
|
24
lalalakakaka OP @Huadb 昨天刚看的360被踢出测评的新闻。。正幸灾乐祸呢,今天就去装360杀毒了。我以前从来不用这个的,现在也只能病急乱投医了
o(︶︿︶)o |
|
25
lalalakakaka OP |
|
26
can 2015-05-05 15:26:38 +08:00
@lalalakakaka 点顶部文件厂商,会按厂商排序,开这个的时候尽可能关掉无关的程序,你的chrome还有virtualbox,这是我能看见的,其他的都关了
|
 |
27
Halry 2015-05-05 15:29:24 +08:00 via Android
磁盘或者内存出问题,导致文件损坏,用dism重置下试试
|
|
28
can 2015-05-05 15:29:47 +08:00
@lalalakakaka 远程看看可以吗?你留个Q?
|
 |
29
momo5269 2015-05-05 15:30:42 +08:00
PowerTool+PCHunter ARK监控
第一遍 Windows清理助手 第二遍 360系统急救箱+金山顽固木马专杀工具 第三遍 NPE+EEK 第四遍 安装杀毒软件 |
 |
30
lxrabbit 2015-05-05 15:31:28 +08:00
为什么要装MSE?我也是装MSE中过毒的
等等,我觉得LZ说的不是病毒,是解压软件抽风,把你的解压缩软件删掉换个别的会不会好? |
 |
31
imn1 2015-05-05 15:43:41 +08:00
我怎么都觉得只是zip的解压控件出了问题而不是病毒
|
 |
32
Daddy 2015-05-05 15:45:31 +08:00 1
@Huadb 360就是垃圾,我说的。
@lalalakakaka 办法就是3楼说的,用ARK工具分析检测,前提是你得懂电脑。看你情况,很可能explorer被替换,然后系统dll文件都异常,估计与熊猫烧香一样的win32病毒,exe/dll都加插了代码。你可以将任意“红”的文件上报到 http://www.virscan.org/ ,那个杀软能识别,就用那个解决 |
|
33
lalalakakaka OP @can 1142962723
thx |
 |
34
icloudnet 2015-05-05 16:08:45 +08:00
强烈怀疑是软文及钓鱼贴
|
|
35
lalalakakaka OP |
|
36
Daddy 2015-05-05 16:13:33 +08:00
@lalalakakaka 有这时间,你就按我说的,把标红的dll,还有报异常的 explorer.exe 上报给我给你网址,看报不报病毒。报什么病毒。
|
|
37
lalalakakaka OP |
|
38
lalalakakaka OP 这个现象正常吗?
还是explorer的加载项,在pchunter里显示所有的dll都被加载了两次~一次红色一次黑色。两次的文件名大小写不同  |
 |
39
jsq2627 2015-05-05 18:55:18 +08:00
|
 |
40
club 2015-05-05 18:55:47 +08:00
樓主還裝360啊?
|
|
41
lalalakakaka OP |
|
42
club 2015-05-05 19:03:04 +08:00 1
@lalalakakaka 其實照我的建議還是重裝為好,誰知道你的系統裡是不是還有其他的病毒呢。
重裝系統,乾淨徹底。 我本人是Debian系統,而網絡環境是VM裡的win8,有快照。哪天發現問題,一個快照就還原了。 |
|
43
jsq2627 2015-05-05 19:11:22 +08:00
http://www.nirsoft.net/utils/shexview.html
用这个工具看看有没有什么不可靠的 shell 扩展 |
|
44
lalalakakaka OP @club 哈~想法正好相反,我想知道到底哪里出了问题~不然下回还会中招。
|
 |
45
zk8802 2015-05-05 20:03:34 +08:00 via iPhone
我可以帮楼主远程分析一下这个问题。楼主愿意的话就留个邮箱,我晚上或明天白天联系你。
|
|
46
Daddy 2015-05-05 21:33:43 +08:00
@lalalakakaka 其它模块扫描结果呢? 你不会用ARK工具?
|
|
47
lalalakakaka OP |
|
48
lalalakakaka OP @Daddy 的确是刚上手用这种工具~而且对很多模块和进程没有背景知识。。只能一个个对着名字谷歌
|
|
49
zk8802 2015-05-06 12:00:15 +08:00 1
@lalalakakaka 楼主上网之后记得回复我的邮件哦。
|
Select Language