记一次病毒查杀

lucac

中毒过程：
      1. 我先在skype上问同事下周工作计划是什么
      2. 同事没回消息，2分钟后被拉到了一个群里，群里有个叫“主管”的人发了个"七月工作安排及工资发放xlsx.exe"，skype文件名没显示全，没看到后面的exe，我顺手就点了
      3. 电脑瞬间断了一下网，感觉不对，断网

杀毒过程：
      1. 360杀毒，什么也没查出来，还被装了个广告插件
      2. 下载火绒杀毒，显示引擎不可用，卸载360后，火绒引擎恢复，然而火绒也什么都查不出来，病毒命名为virus.exe放到C盘根目录都扫不出来
      3. 找了几个多引擎在线文件分析，大概有十分之一的引擎认为是木马，看到其中包含rising，于是下载瑞星
      4. 因为火绒一直报Adware/Rising.a，导致瑞星安装失败，卸载火绒后正常
      5. 瑞星扫全盘除了病毒样本文件也没查出什么来，还是有点慌，重装成本太高，可能还得换几个软件折腾几轮

lucac

skype实在太离谱了，可以随意被陌生人拉到群里，可执行文件不自动改后缀显示还不全

Archaeopteryx

现在操作系统从网络上获取的可执行文件在打开时一般都会提示一下吧，病毒这么厉害连提示都不会触发？

极北天琴

试试火绒专杀？

GrimReaper

UAC没启动?不应该啊?

宵神乐

没网skype？
我公司都是发图片 发附件全禁的

呀~~~呀嘿！

把UAC关掉了吧哪怕是默认等级情况也会好很多

这种情况还是重装吧，不然以后用着提心吊胆来自: iPhone客户端

lucac

确实是我的问题，系统是win7，看了下真的没开UAC，管理员提权设置的是"不提示，直接提升"

用win7是因为之前有个政务云项目用的远古版本的天融信VPN，就win7的客户端正常，然后发现win7和win10用MouseWithoutBorder跨屏也很流畅，于是这台win7就承载了除了开发环境之外的一切零碎任务...

M1NG

都是放零碎的，备份下重要的文件重装吧，杀毒再怎么杀也很难保证真的干净了 就当记个教训

论坛助手,iPhone

Flyfish233

有补救办法。用虚拟机或者腾讯某服务打开一下这玩意然后看改动，反向操作

kztp

两个路人 发表于 2022-7-23 21:43
现在灰产会检测运行环境，进了虚拟机很可能不干活

那反过来说是不是开机先套一层虚拟机，正常操作都在里面搞就可以安全很多

星の守

确定是病毒的话，那必需得找到清除的办法，没清除的话哪怕重装之后也有可能会被触发

Flyfish233

kztp 发表于 2022-7-23 23:01
那反过来说是不是开机先套一层虚拟机，正常操作都在里面搞就可以安全很多 ...

不如直接声卡网卡改个名字，然后后台运行一些空进程，名字取独特点

superchenxx01

另外找台电脑装好杀软，这台电脑硬盘拆下装过去

ambivalence

搞个沙箱跑一下看看这玩意到底干了啥