【求助】IE劫持、开机弹窗的流氓程序找不出

4O4

kfpe23 发表于 2015-7-28 21:40
据vm001说，是鬼影，可以试试检查mbr,vbr

谢谢 kfpe23 的提醒。

要真是鬼影就好办多了，之前自己也怀疑过，有试着用命令 fdisk /mbr，也许打错或者其他什么原因没起作用？

我不会手动分析mbr，手里倒是有不少工具，索性找机会用工具重写MBR。

4O4

神迹般存在 发表于 2015-7-28 22:27
KIS missed all
上报KIS

非常感谢 神迹般存在 的讲解，收获不菲。

我还是倾向于手杀，主要是担心那些个急救箱帮倒忙，前面多次提过，因工作原因不敢乱动这台电脑。

神迹般存在

4O4 发表于 2015-7-28 23:41
非常感谢 神迹般存在 的讲解，收获不菲。

我还是倾向于手杀，主要是担心那些个急救箱帮倒忙，前面多次 ...

如果希望手杀的话，可以使用PCHunter

神迹般存在

4O4 发表于 2015-7-28 23:41
非常感谢 神迹般存在 的讲解，收获不菲。

我还是倾向于手杀，主要是担心那些个急救箱帮倒忙，前面多次 ...

早上用VirusTotal检测了一下网站，这个u.pp02.com完全是个跳转网页，没有挂马，因此可以肯定这是流氓软件了，用PCHunter手动查杀吧。

水晶蓝

4O4 发表于 2015-7-22 23:08
感谢 XywCloud 测试及回复

非冒犯之意，您说的是百度杀毒软件？其引擎不就是用的红伞引擎么？（说错 ...

百度以前用的是小伞的，后来改用卡巴了

sunnyjianna

过WD

4O4

××××××××带遗憾的尾声××××××××

昨天路过朋友处，顺带看看机器。

发现该恶意程序变本加厉，莫名其妙进化？！不但废了我手里的Wsyscheck，还死拖CPU一整天（机主语：干什么都卡）。

开机倒是不弹小窗广告了，他妹的又改成双IE全屏 “luo 聊”广告！！！

扫了眼进程里的模块，果然换了dll文件，激愤之下忘了采集，只是记下了路径 “d:\temp\brwhelper.dll”,签名是“南京某某科技有限公司”

和朋友商议，先做好数据备份，改天重做系统。

临走前抱着死马医活的心理，卸掉红伞，装上Huo 绒，设置好后全盘扫描，扫出的东西不多，3个伪jpeg图片，位置藏在C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files下（也是正常IE缓存位置之一），其他病毒木马藏身地均无异常。

随后连接网线启动关机数次，暂未发现异常。

--------------------------------------

PS：被这恶意程序搞累了，不在自己的机器上，没时间和它玩耍，恕不再提交样本。再次感谢大家的热心帮助。

--------------------------------------

遗憾一：依然没发现该恶意程序启动的方式；

遗憾二：这种恶意程序可以提交司法机构处理了。大家都懂得原因，这门，是找不到的。

卡江东N

可疑进程2报了