用着NS，貌似被种下了后门下载程序~~~

liu5678

RT，用NS有100天+，一直相安无事（前段时间NS自动锁定，不能退出自动防护，后来在官网客服的建议下重装NS，已经解决）
到3月份以来，NS突然出现多次警报：包括入侵防护模块的和防火墙模块的。
最明显的感知是，打开bigfoot（大脚，一个魔兽世界游戏的插件），入侵防护会提示已经拦截
主要有下面的提示:
Web attack:Exploit Kit Variant 6 (此攻击基本来自一个www.xueziw.com/xy/index.html的网址，可能后面那个xy会变换，但是基本上都是xueziw这个域名的）
Web attack: Malicious Toolkit Iframe Injection（此攻击基本来自一个www.tookme.me的网址）
最早一次发现攻击，是从3月3日开始的。。。
攻击的目标地址都是windows10.microdone.cn
攻击的后果，就是最近几天，我发现电脑被先后以后台静默的方式，安装了鲁大师、QQ管家、瑞星的软件部署系统及瑞星杀毒软件
QQ管家和鲁大师都通过正常的途径直接卸载了。只有瑞星的部署系统，找不到卸载的途径~~~~最后没办法，通过CMD命令搞定~~~~
这些被偷偷安装的软件被卸载了，但是直到现在，每次开机，打开IE（因为网银需要用到IE），还是会提示某个未知程序尝试修改主页为hao123.com(后面会继续跟一串推广代码）
说明后门程序应该还在电脑上，并且在运行~~~~~
今天凌晨的时候，我找到了瑞星、QQ管家这些被偷偷下载的安装文件~~~
它们被放在C:\ProgramData\WinAppMgmt\Application里面。同时出现的，还有一个叫cchelper也在这个文件夹里。。。。
我查了cchelper（跟ccleaner没关系~~~~），这个软件的数字签名是StarSoft comm。。。是惠普电脑出厂预装程序——E管家的开发厂家~~~~
现在这些后台下载的程序在这里，我就有以下困惑：
1。E管家是HP电脑出厂预装自带的，我已经在第一次开机的时候就卸载掉了~~（也有可能是厂家故意留了后门），他是怎么作恶的。
2.如果是E管家监守自盗，我该怎么去证明呢？
3.结合最近以来，我受到这些攻击，应该比较明显的表明电脑上被安装了什么后门，或者偷渡下载的木马等，我最近没有安装过任何程序，那这个软件是如何到我电脑上的·~~~
4.cchelper、在我电脑上偷偷安装的软件我都卸载掉了，但是现在开机还是会有未知程序更改我的IE首页，请问如何定位这个程序？
5.中招以后，除了恢复出厂设置，（win10）以外，请问还有其他的办法可以把这个流氓纠出来不？谢谢各位~~~~~

cxy密斯

wcasd911

还是用正版吧

liu5678

wcasd911 发表于 2017-3-11 16:32
还是用正版吧

我是正版，我也没访问过这个网站~~~
是这个网站所在的IP地址想要入侵我，被NS挡住了~~~~~~
但是后台偷渡下载还在进行。。。。。

liu5678

cxy密斯 发表于 2017-3-11 16:09

是的，访问这个网站确实是会被阻止了~入侵防护也确实被挡住了，因为都提示了~~~
但是还是被下载了一些东西。。。

linzh

360急救箱走起
不造powereraser怎么样

cwl12315

你那插件里面有黑的？

liu5678

linzh 发表于 2017-3-12 01:04
360急救箱走起
不造powereraser怎么样

360急救箱也没找到个所以然。。。。

liu5678

cwl12315 发表于 2017-3-12 03:17
你那插件里面有黑的？

插件已经用了好久好久了~~~~出事的时候也没有什么更新的。。。

linzh

liu5678 发表于 2017-3-12 03:57
360急救箱也没找到个所以然。。。。

你是全盘扫描的？
这种国产流氓就要国产杀软治