找回密码
 立即注册
搜索
查看: 2496|回复: 19

[其他] 记一次病毒查杀

[复制链接]
     
发表于 2022-7-23 16:55 | 显示全部楼层 |阅读模式
中毒过程:
      1. 我先在skype上问同事下周工作计划是什么
      2. 同事没回消息,2分钟后被拉到了一个群里,群里有个叫“主管”的人发了个"七月工作安排及工资发放xlsx.exe",skype文件名没显示全,没看到后面的exe,我顺手就点了
      3. 电脑瞬间断了一下网,感觉不对,断网

杀毒过程:
      1. 360杀毒,什么也没查出来,还被装了个广告插件
      2. 下载火绒杀毒,显示引擎不可用,卸载360后,火绒引擎恢复,然而火绒也什么都查不出来,病毒命名为virus.exe放到C盘根目录都扫不出来
      3. 找了几个多引擎在线文件分析,大概有十分之一的引擎认为是木马,看到其中包含rising,于是下载瑞星
      4. 因为火绒一直报Adware/Rising.a,导致瑞星安装失败,卸载火绒后正常
      5. 瑞星扫全盘除了病毒样本文件也没查出什么来,还是有点慌,重装成本太高,可能还得换几个软件折腾几轮
回复

使用道具 举报

     
 楼主| 发表于 2022-7-23 16:58 | 显示全部楼层
skype实在太离谱了,可以随意被陌生人拉到群里,可执行文件不自动改后缀显示还不全
回复

使用道具 举报

     
发表于 2022-7-23 17:03 | 显示全部楼层
现在操作系统从网络上获取的可执行文件在打开时一般都会提示一下吧,病毒这么厉害连提示都不会触发?
回复

使用道具 举报

头像被屏蔽
     
发表于 2022-7-23 17:09 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2022-7-23 17:10 | 显示全部楼层
试试火绒专杀?
回复

使用道具 举报

     
发表于 2022-7-23 17:20 | 显示全部楼层
UAC没启动?不应该啊?
回复

使用道具 举报

     
发表于 2022-7-23 17:21 | 显示全部楼层
没网skype?
我公司都是发图片 发附件全禁的
回复

使用道具 举报

     
发表于 2022-7-23 17:29 来自手机 | 显示全部楼层
把UAC关掉了吧哪怕是默认等级情况也会好很多

这种情况还是重装吧,不然以后用着提心吊胆来自: iPhone客户端
回复

使用道具 举报

     
 楼主| 发表于 2022-7-23 17:29 | 显示全部楼层
确实是我的问题,系统是win7,看了下真的没开UAC,管理员提权设置的是"不提示,直接提升"

用win7是因为之前有个政务云项目用的远古版本的天融信VPN,就win7的客户端正常,然后发现win7和win10用MouseWithoutBorder跨屏也很流畅,于是这台win7就承载了除了开发环境之外的一切零碎任务...
回复

使用道具 举报

     
发表于 2022-7-23 17:38 | 显示全部楼层
都是放零碎的,备份下重要的文件重装吧,杀毒再怎么杀也很难保证真的干净了 就当记个教训

论坛助手,iPhone
回复

使用道具 举报

     
发表于 2022-7-23 18:11 来自手机 | 显示全部楼层
有补救办法。用虚拟机或者腾讯某服务打开一下这玩意然后看改动,反向操作
回复

使用道具 举报

     
发表于 2022-7-23 18:39 来自手机 | 显示全部楼层
卡巴斯基 比特梵德 nod32 诺顿 360急救箱挨个试试吧
但是很有可能请不干净,重装之后装个靠谱的杀软吧。

—— 来自 samsung SM-G9910, Android 11上的 S1Next-鹅版 v2.5.3
回复

使用道具 举报

头像被屏蔽
发表于 2022-7-23 21:43 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2022-7-23 23:01 | 显示全部楼层
两个路人 发表于 2022-7-23 21:43
现在灰产会检测运行环境,进了虚拟机很可能不干活

那反过来说是不是开机先套一层虚拟机,正常操作都在里面搞就可以安全很多
回复

使用道具 举报

头像被屏蔽
     
发表于 2022-7-23 23:06 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
     
发表于 2022-7-23 23:17 来自手机 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

     
发表于 2022-7-24 00:17 | 显示全部楼层
确定是病毒的话,那必需得找到清除的办法,没清除的话哪怕重装之后也有可能会被触发
回复

使用道具 举报

     
发表于 2022-7-24 00:25 来自手机 | 显示全部楼层
kztp 发表于 2022-7-23 23:01
那反过来说是不是开机先套一层虚拟机,正常操作都在里面搞就可以安全很多 ...

不如直接声卡网卡改个名字,然后后台运行一些空进程,名字取独特点
回复

使用道具 举报

     
发表于 2022-7-24 10:46 | 显示全部楼层
另外找台电脑装好杀软,这台电脑硬盘拆下装过去
回复

使用道具 举报

     
发表于 2022-7-24 14:58 | 显示全部楼层
搞个沙箱跑一下看看这玩意到底干了啥
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-15 10:57 , Processed in 0.116606 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表