昨天手贱下了这个可疑文件，大家帮忙看下，谢谢！

绯色鎏金

ultrafan 发表于 2016-4-12 09:38
非常感谢！我电脑里找不到静默运行的这货，还有别的办法吗？进程管理器和注册表里也找不到相关信息

附件里是释放物。就是锁主页的那个程序
另外应该干掉驱动吧，驱动名称忘记了。看看有没有加载什么可疑驱动，卸载试试看。但是可能会造成系统不稳定

liulangzhecgr

加驱之后，就不好说！

2016/4/12 10:06:47    创建新进程    允许
进程: c:\windows\system32\taskmgr.exe
目标: g:\download\迅雷会员账号共享2015最新版.exe
命令行: "G:\Download\迅雷会员账号共享2015最新版.exe"
规则: [应用程序]*

2016/4/12 10:08:17    创建文件    允许
进程: c:\users\baba\appdata\local\temp\lmtp~\hlsys32.exe
目标: C:\Users\baba\AppData\Local\Temp\~tmp_hl\mslmedia.sys
规则: [应用程序组]病毒测试 -> [文件]*

2016/4/12 10:10:12    创建文件    允许
进程: c:\users\baba\appdata\local\temp\lmtp~\hlsys32.exe
目标: C:\Windows\system32\DRIVERS\Mslmedia.sys
规则: [应用程序组]病毒测试 -> [文件]*

2016/4/12 10:10:20    安装驱动程序或服务    允许
进程: c:\users\baba\appdata\local\temp\lmtp~\hlsys32.exe
目标: system32\DRIVERS\Mslmedia.sys
规则: [应用程序组]病毒测试

2016/4/12 10:11:42    加载驱动程序    阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\mslmedia.sys
规则: [应用程序]c:\windows\system32\services.exe

ultrafan

liulangzhecgr 发表于 2016-4-12 10:16
加驱之后，就不好说！

驱动和服务我都看了，没有什么异常的，难道只能重装系统了吗？

wu5920

火绒报  主文件和释放的文件

ultrafan

windows7爱好者 发表于 2016-4-11 22:18
利用一生锁页的改主页病毒，那个驱动是一生锁页的
我以前其实发过这个样本

解铃还须系铃人，有解药吗？

icedream89

ultrafan 发表于 2016-4-12 11:15
解铃还须系铃人，有解药吗？

找不到可以驱动吗？先干掉驱动再改

liulangzhecgr

ultrafan 发表于 2016-4-12 10:33
驱动和服务我都看了，没有什么异常的，难道只能重装系统了吗？

加载驱动之后，用HIPS能否监控的了就不好说。

l.i.e

锁定主页，自身毁灭。  不会有其它的了，加载驱动可能开后门，这个看黑客高兴了。

ultrafan

icedream89 发表于 2016-4-12 12:40
找不到可以驱动吗？先干掉驱动再改

找不到可疑的驱动，现在用卡巴也扫描不出问题，360也拿它没办法。

ultrafan

pal家族 发表于 2016-4-11 21:34
帮你上报下，你原文件别删。明晚入库了再双击一次。
其他的，我也不是高手，不会啦

有什么进展了吗？