本帖最后由 2512975065 于 2019-7-11 22:52 编辑
不知发到这里有没有问题,麻烦管理员帮我移到合适的位置哈!
----------------------------------------7.10----------------------------------- 今天将家里那台最老的机器(也是唯一能刻录光碟的机器)从Win10弄回XP Windows XP大多数人都应该选用Ghost版的吧(原版驱动不全) 扫描,快捷方式检查,均没有发现病毒,浏览器配置文件没有被修改 (以上均告失败,可能是我这个系统比较新,火绒那边还没收录) 貌似专杀工具在Windows XP下运行有问题(就是Prepaping后直接扫描完成,连文件都不扫描了) 无论是搜索还是主页,都被弄回 自己看图啊,我就不打上去了 接下来请出火绒剑,查看有没有可疑的sys或dll文件被加载(考虑到应该是驱动级劫持) 重点检查explorer,结果发现没有被加载可疑dll文件 不过根据经历,这一般找不到什么东西 直接去内核找(找驱动) 然后在内核里找到一个未知文件(jcDNMgbR.sys),该文件命名方式奇怪,并且没有公司名,签名和描述,看起来应该就是他了。 咋们先备份出来,提交给火绒分析以及样本区,当然有兴趣的可以自己分析。(事实上是专杀工具随机释放的sys,冒汗啊) 在找该sys时候发现该sys不见了???(确实不见了) 突然想起还没有重启系统,于是将系统重启,但没有效果,依然被劫持 智量扫描无异常 于是将目标转向tcpip.sys(因为他是唯一一个文件在火绒剑里被标识未知文件的) 很迟了,就文件放上来给大家检查一下! 明天请火绒工程师看一下 ----------------------------7.11-------------------------- 不知为何专杀工具正常了,重新扫描,发现一个Wenk开头报毒的文件,将其处理掉,重启,仍然没效果 后来请火绒工程师来解决该问题 火绒工程师从早上10点,一直到晚上6点,确实辛苦啊 得出了一个结论: 这个系统有病毒:WenkPico,以及修改过的2345驱动一起锁首 后来将这些sys删除,浏览器配置全部删除一次后,终于恢复正常! (说实话和我预想中的只是差了一个驱动)
我对主页劫持其实也有一套自己的方法的,操作和火绒工程师的操作差不多,但对于这个系统真的是无能为力,看看过几天分享出来吧
| 
发表于 2019-7-10 23:21:14
