360没有倒下，但是也没有拦住

显示全部楼层 · 发表于 2010-10-23 14:00:37

今天同事一台电脑中毒了，要我帮他杀毒
它说是QQ提示升级，升级后好像中毒了

我过去一看，桌面所有的快捷方式全被改了，所有快捷方式后面都被加上了“www.hao123.cc”的网址，桌面上还多了淘宝一类的快捷方式，用360扫描，提示很多快捷方式危险并扫描出木马。用360杀，杀不掉，重启能杀掉，但仍然有残留。

这时发现QQ不能启动，提示找不到dll，根据前面同事所述，估计病毒是通过QQ启动的。但是病毒启当时启动时360没有拦截，而且那同事说早上一来就用360卫士全盘扫描过，无毒，至于后来我扫描出了毒，估计是360后来才入的库。

然后用win清理助手扫描，发现了这个

再用NPE扫描，报了2个可疑驱动

全部干掉，重启系统正常

显示全部楼层 · 发表于 2010-10-23 14:05:39

光把扫出来的拿出来，是不能全局解释的

显示全部楼层 · 发表于 2010-10-23 14:06:58

回复 2楼 jinzijie 的帖子

那要怎样？

显示全部楼层 · 发表于 2010-10-23 14:10:57

回复 3楼 zzirong 的帖子

得学习leisong 那样

显示全部楼层 · 发表于 2010-10-23 14:18:49

回复 4楼 jinzijie 的帖子

教程在哪？

显示全部楼层 · 发表于 2010-10-23 14:22:12

回复 5楼 zzirong 的帖子

偶不知道怎么讲

显示全部楼层 · 发表于 2010-10-23 14:26:35

回复 6楼 jinzijie 的帖子

那算了，我又不是要你们分析病毒来的

显示全部楼层 · 发表于 2010-10-23 14:32:04

本帖最后由 jinzijie 于 2010-10-23 14:33 编辑

回复 7楼 zzirong 的帖子

360ko了后重启，残余是指什么？清理助手扫出的那货在重启前也运行了么？罪魁我倒觉得就是360杀出的那vbe，清理助手杀出的更像是尸体

显示全部楼层 · 发表于 2010-10-23 14:38:57

回复 8楼 jinzijie 的帖子

那个vbe说不定还是个崽子，我怀疑真正的母体没有找到，残余的是很多被改的快捷方式

显示全部楼层 · 发表于 2010-10-23 14:42:31

回复 9楼 zzirong 的帖子

母体还不是靠vbe自启动调用的，bve挂了，母体就成尸体了，除非有母体自启动，这个不太可能，360云查杀对自启动很严，可疑的报。所以我怀疑清理助手只是杀了尸体而已。至于快捷方式，这个原先的桌面图标防护是完美保护的，后来据说被厂商投诉了，改掉了，所以现在快捷方式拦不住了。。。

还有论坛有BUG，附件不能下载，用外链比较好

[讨论] 360没有倒下，但是也没有拦住

本帖子中包含更多资源