V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lalalakakaka
V2EX  ›  问与答

中了小众病毒了怎么办(怎么手动查杀)?

  •  
  •   lalalakakaka · 2015-05-04 20:34:23 +08:00 · 4704 次点击
    这是一个创建于 3477 天前的主题,其中的信息可能已经有所发展或是发生改变。
    裸奔多年的电脑(只开MSE)终于中毒了
    win8.1 x64位
    特征是:不能使用explorer打开zip文件,一打开就会自动重启explorer.exe
    同样,控制面板里的:程序和功能、电源选项、个性化、分辨率、系统等和电脑设置相关的功能都打不开,症状类似,都是闪一下后explorer被重启。
    使用命令行工具检查系统文件损坏,没有效果。
    重启进入安全模式,没有效果。
    基本确定是中毒了。
    然后下载了360杀毒/卡巴斯基都没有作用。
    49 条回复    2015-05-06 12:00:15 +08:00
    tux
        1
    tux  
       2015-05-04 21:02:03 +08:00
    重装还要快一些
    paradoxs
        2
    paradoxs  
       2015-05-04 21:08:17 +08:00
    360系统急救箱右边那一列全部选项都走一遍。

    然后勾起全盘+强力,开始扫描。

    还是不行就重装吧。
    kiritoalex
        3
    kiritoalex  
       2015-05-04 21:20:33 +08:00 via Android   ❤️ 1
    xuetr或者powertool或者PChunter选其一.运行时会自动检查是否被Rootkit修改MBR.有则恢复之看一下进程,看有无可疑的未签名程序,如果没有就按A-Z的顺序排一下系统进程,依次检查threads.然后切换到驱动模块,检查有无可疑驱动,再检查SSDT,ShadowSSDT,看有无可疑挂钩,全盘遍历根目录,看有无autorun.inf.若有,参考Autorun病毒手动清除指南清除,若没有,下载一个rescue版的各大杀毒软件(卡巴,NOD32,推荐大蜘蛛,小红伞(不知道现在还有木有应急光盘了))在PE下扫描,全程请务必断网
    kiritoalex
        4
    kiritoalex  
       2015-05-04 21:21:29 +08:00 via Android
    另外请务必检查IEFO是否被hijack掉
    lalalakakaka
        5
    lalalakakaka  
    OP
       2015-05-05 08:16:50 +08:00
    @kiritoalex 正在学着用pchunter
    我能不能用这个工具监视程序行为?我想排查出来到底是哪个进程把我的explorer结束掉的。我想这样能快些~
    can
        6
    can  
       2015-05-05 08:38:22 +08:00   ❤️ 1
    我怎么看着就不像是中毒,应该是有什么东西跟x64 8.1的explorer不兼容导致的,信的过的话用360安全卫士人工服务下的“explorer总是崩溃”修复下。别往病毒的方向想。
    kiritoalex
        7
    kiritoalex  
       2015-05-05 08:43:00 +08:00
    @lalalakakaka 不能
    你可以试着用process tracer来跟踪进程
    can
        8
    can  
       2015-05-05 08:49:10 +08:00   ❤️ 1
    http://support.icafe8.com/technologynews/focus/4837.html
    用Windbg+PCHunter的方法时不要开太多程序,否则会很卡的
    shippo7
        9
    shippo7  
       2015-05-05 08:49:59 +08:00   ❤️ 1
    我也觉得不一定是中毒,可能是explorer.exe出现了问题。要确定是中毒至少要找到可疑进程/服务/启动项
    zouxy
        10
    zouxy  
       2015-05-05 10:24:04 +08:00   ❤️ 1
    内行不会问这个问题,外行还是重装比较简单.
    lalalakakaka
        11
    lalalakakaka  
    OP
       2015-05-05 11:29:54 +08:00
    @can
    使用Windbg调试explorer后,能正常打开zip和一些控制面板窗口了。异常消失了。。不能重现问题。
    关掉windbg后又打不开了。。。
    这是病毒的反调试功能?
    can
        12
    can  
       2015-05-05 13:28:12 +08:00   ❤️ 1
    @lalalakakaka Windbg只是记录explorer要加载哪些模块,问题应该还在,如果操作正确的话。
    那你直接在PCHunter的进程选项卡下看下explorer都加载了哪些dll,排除掉微软的,剩下的逐一分析下。
    我觉得360安全卫士人工服务下的“explorer总是崩溃”就能解决问题。
    lalalakakaka
        13
    lalalakakaka  
    OP
       2015-05-05 14:18:51 +08:00
    @can 在人工服务里没有找到“explorer总是崩溃”这一项~
    can
        14
    can  
       2015-05-05 14:25:42 +08:00
    这搜不到?
    lalalakakaka
        15
    lalalakakaka  
    OP
       2015-05-05 14:35:27 +08:00
    @can
    我擦。。。
    lalalakakaka
        16
    lalalakakaka  
    OP
       2015-05-05 14:41:19 +08:00
    @can 现在我整个人都要崩溃了。。难不成我装的360和你的360版本不一样。。
    can
        17
    can  
       2015-05-05 14:46:01 +08:00   ❤️ 1
    @lalalakakaka 版本不一样吧,只搜explorer呢。那你尽可能关掉所有无关的程序,打开PCHunter--进程--右击explorer.exe--查看进程模块--点文件厂商按厂商排序,看看都有哪些可疑的dll文件被加载了
    lalalakakaka
        18
    lalalakakaka  
    OP
       2015-05-05 14:54:20 +08:00
    @can 依然搜不到~这个抽风抽的太奇怪了。难不成360对不同系统有兼容性检查,这个工具默认在win8.1x64上不能用?
    对explorer下的模块排查下,没有数字签名的那几个我都看了,都没问题。现在是有很多dll是红色高亮的,这个不清楚是不是有问题。然后所有这些模块都不能手工卸载,一旦卸载就会导致explorer重启。
    can
        19
    can  
       2015-05-05 15:00:46 +08:00
    @lalalakakaka 红色显示的都是隐藏(异常)模块,你截个图呗
    Huadb
        20
    Huadb  
       2015-05-05 15:06:16 +08:00 via iPhone
    这个时候就没人喷360了
    sketch33
        21
    sketch33  
       2015-05-05 15:06:28 +08:00
    怎么中的
    lalalakakaka
        22
    lalalakakaka  
    OP
       2015-05-05 15:10:16 +08:00
    <img src=" "/>
    这只是一半不到
    大概一半以上的签名为微软的dll都是红色的。
    hjc4869
        23
    hjc4869  
       2015-05-05 15:10:32 +08:00
    Reinstall.
    lalalakakaka
        24
    lalalakakaka  
    OP
       2015-05-05 15:12:10 +08:00
    @Huadb 昨天刚看的360被踢出测评的新闻。。正幸灾乐祸呢,今天就去装360杀毒了。我以前从来不用这个的,现在也只能病急乱投医了
    o(︶︿︶)o
    lalalakakaka
        25
    lalalakakaka  
    OP
       2015-05-05 15:13:59 +08:00
    @hjc4869
    装的东西太多。。重装成本太高了。。
    我在想要不要冒着被肉鸡的风险继续用着,扛到各大杀毒软件有能力查杀这个病毒
    can
        26
    can  
       2015-05-05 15:26:38 +08:00
    @lalalakakaka 点顶部文件厂商,会按厂商排序,开这个的时候尽可能关掉无关的程序,你的chrome还有virtualbox,这是我能看见的,其他的都关了
    Halry
        27
    Halry  
       2015-05-05 15:29:24 +08:00 via Android
    磁盘或者内存出问题,导致文件损坏,用dism重置下试试
    can
        28
    can  
       2015-05-05 15:29:47 +08:00
    @lalalakakaka 远程看看可以吗?你留个Q?
    momo5269
        29
    momo5269  
       2015-05-05 15:30:42 +08:00
    PowerTool+PCHunter ARK监控

    第一遍 Windows清理助手
    第二遍 360系统急救箱+金山顽固木马专杀工具
    第三遍 NPE+EEK
    第四遍 安装杀毒软件
    lxrabbit
        30
    lxrabbit  
       2015-05-05 15:31:28 +08:00
    为什么要装MSE?我也是装MSE中过毒的

    等等,我觉得LZ说的不是病毒,是解压软件抽风,把你的解压缩软件删掉换个别的会不会好?
    imn1
        31
    imn1  
       2015-05-05 15:43:41 +08:00
    我怎么都觉得只是zip的解压控件出了问题而不是病毒
    Daddy
        32
    Daddy  
       2015-05-05 15:45:31 +08:00   ❤️ 1
    @Huadb 360就是垃圾,我说的。

    @lalalakakaka 办法就是3楼说的,用ARK工具分析检测,前提是你得懂电脑。看你情况,很可能explorer被替换,然后系统dll文件都异常,估计与熊猫烧香一样的win32病毒,exe/dll都加插了代码。你可以将任意“红”的文件上报到 http://www.virscan.org/ ,那个杀软能识别,就用那个解决
    lalalakakaka
        33
    lalalakakaka  
    OP
       2015-05-05 16:07:06 +08:00
    @can 1142962723
    thx
    icloudnet
        34
    icloudnet  
       2015-05-05 16:08:45 +08:00
    强烈怀疑是软文及钓鱼贴
    lalalakakaka
        35
    lalalakakaka  
    OP
       2015-05-05 16:10:15 +08:00
    @icloudnet
    o(︶︿︶)o
    我整个人都崩溃了。。钓毛鱼啊
    Daddy
        36
    Daddy  
       2015-05-05 16:13:33 +08:00
    @lalalakakaka 有这时间,你就按我说的,把标红的dll,还有报异常的 explorer.exe 上报给我给你网址,看报不报病毒。报什么病毒。
    lalalakakaka
        37
    lalalakakaka  
    OP
       2015-05-05 16:16:12 +08:00
    @Daddy 有个疑问,我上报的文件应该是直接从路径拷贝出来的文件吗?
    上报了几个都没问题。
    会不会内存里的dll和硬盘里的dll同名但内容不一致?
    lalalakakaka
        38
    lalalakakaka  
    OP
       2015-05-05 16:28:09 +08:00
    这个现象正常吗?
    还是explorer的加载项,在pchunter里显示所有的dll都被加载了两次~一次红色一次黑色。两次的文件名大小写不同
    jsq2627
        39
    jsq2627  
       2015-05-05 18:55:18 +08:00
    试试
    sfc /scannow
    命令

    用来修复被替换或者损坏的系统文件
    https://support.microsoft.com/en-us/kb/929833
    club
        40
    club  
       2015-05-05 18:55:47 +08:00
    樓主還裝360啊?
    lalalakakaka
        41
    lalalakakaka  
    OP
       2015-05-05 18:57:41 +08:00
    @jsq2627 一开始就试了

    @club 没招了只能乱试验了
    club
        42
    club  
       2015-05-05 19:03:04 +08:00   ❤️ 1
    @lalalakakaka 其實照我的建議還是重裝為好,誰知道你的系統裡是不是還有其他的病毒呢。
    重裝系統,乾淨徹底。
    我本人是Debian系統,而網絡環境是VM裡的win8,有快照。哪天發現問題,一個快照就還原了。
    jsq2627
        43
    jsq2627  
       2015-05-05 19:11:22 +08:00
    http://www.nirsoft.net/utils/shexview.html
    用这个工具看看有没有什么不可靠的 shell 扩展
    lalalakakaka
        44
    lalalakakaka  
    OP
       2015-05-05 19:17:52 +08:00
    @club 哈~想法正好相反,我想知道到底哪里出了问题~不然下回还会中招。
    zk8802
        45
    zk8802  
       2015-05-05 20:03:34 +08:00 via iPhone
    我可以帮楼主远程分析一下这个问题。楼主愿意的话就留个邮箱,我晚上或明天白天联系你。
    Daddy
        46
    Daddy  
       2015-05-05 21:33:43 +08:00
    @lalalakakaka 其它模块扫描结果呢? 你不会用ARK工具?
    lalalakakaka
        47
    lalalakakaka  
    OP
       2015-05-05 21:50:31 +08:00
    lalalakakaka
        48
    lalalakakaka  
    OP
       2015-05-05 21:52:00 +08:00
    @Daddy 的确是刚上手用这种工具~而且对很多模块和进程没有背景知识。。只能一个个对着名字谷歌
    zk8802
        49
    zk8802  
       2015-05-06 12:00:15 +08:00   ❤️ 1
    @lalalakakaka 楼主上网之后记得回复我的邮件哦。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2734 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 07:39 · PVG 15:39 · LAX 23:39 · JFK 02:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.