V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nobodybutme
V2EX  ›  信息安全

笔记本中了挖矿病毒。。。

  •  
  •   nobodybutme · 2018-07-26 13:06:23 +08:00 · 4158 次点击
    这是一个创建于 2310 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天火绒开始弹窗,当时都点了立即删除 /阻止,文件也都在火绒隔离区。但是后面过一段时间还是会弹。

    现在在火绒深度查杀,希望能解决

    http://ww1.sinaimg.cn/large/9ceb7c6bgy1ftn672otd1j20v10e6div.jpg

    http://ww1.sinaimg.cn/large/9ceb7c6bgy1ftn6akva9fj20lu0e13zj.jpg

    看了下安装程序列表,都是自己安装的,没发现异常。 任务管理器中除了那个 csrss 也没发现什么异常,cpu 还没彪高,估计是病毒程序被火绒阻止了。

    作为一个码农,自然是不会去点那些乱七八糟的链接,软件基本都是官网下载安装,未知 exe 更是不会随便开。 不知道是什么时候中的招。

    google 了下 csrss 和 wupv 这两个,确认是病毒,但基本都是说怎么怎么就删除,试过,无效。

    有没有了解的老铁

    第 1 条附言  ·  2018-07-26 15:28:46 +08:00

    http://ww1.sinaimg.cn/large/9ceb7c6bgy1ftnaj7c72cj20jb0b5aao.jpg

    把火绒隔离区的文件都提取出来了,网盘 https://pan.baidu.com/s/16W-amXUHAkcX8l4fvs5z2A

    里面有一段python代码,其他的就是dll,exe了

    有兴趣的老铁可以看看

    6 条回复    2018-07-30 01:46:00 +08:00
    yksoft1
        1
    yksoft1  
       2018-07-26 13:33:56 +08:00
    把火绒扫描出来的问题文件和注册表项全部记下,用 PE 启动去删一遍试试看
    Athrob
        2
    Athrob  
       2018-07-26 13:56:11 +08:00
    火绒剑里看看
    yksoft1
        3
    yksoft1  
       2018-07-26 14:38:42 +08:00
    @Athrob 好久没有手工杀毒过了,这个火绒剑是不是和当年的 iSword、狙剑之类的辅助工具?
    Athrob
        4
    Athrob  
       2018-07-26 14:47:35 +08:00
    @yksoft1 #3 就在火绒的扩展工具里, 就是分析系统启动项, 文件钩子什么的, 应该和你说的那些工具差不多.
    类似的工具还有 PC Hunter
    nobodybutme
        5
    nobodybutme  
    OP
       2018-07-26 15:21:52 +08:00
    @Athrob 火绒剑里扫了一圈,干掉了 1 个明显的 csrss 相关的,但是没啥用

    扫描到的 43 个风险也处理了,也没用。过一段时间还是会弹
    hu5ky
        6
    hu5ky  
       2018-07-30 01:46:00 +08:00
    蠕虫啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2689 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.