中了小众病毒了怎么办(怎么手动查杀)?

2015-05-04 20:34:23 +08:00
 lalalakakaka
裸奔多年的电脑(只开MSE)终于中毒了
win8.1 x64位
特征是:不能使用explorer打开zip文件,一打开就会自动重启explorer.exe
同样,控制面板里的:程序和功能、电源选项、个性化、分辨率、系统等和电脑设置相关的功能都打不开,症状类似,都是闪一下后explorer被重启。
使用命令行工具检查系统文件损坏,没有效果。
重启进入安全模式,没有效果。
基本确定是中毒了。
然后下载了360杀毒/卡巴斯基都没有作用。
4745 次点击
所在节点    问与答
49 条回复
tux
2015-05-04 21:02:03 +08:00
重装还要快一些
paradoxs
2015-05-04 21:08:17 +08:00
360系统急救箱右边那一列全部选项都走一遍。

然后勾起全盘+强力,开始扫描。

还是不行就重装吧。
kiritoalex
2015-05-04 21:20:33 +08:00
xuetr或者powertool或者PChunter选其一.运行时会自动检查是否被Rootkit修改MBR.有则恢复之看一下进程,看有无可疑的未签名程序,如果没有就按A-Z的顺序排一下系统进程,依次检查threads.然后切换到驱动模块,检查有无可疑驱动,再检查SSDT,ShadowSSDT,看有无可疑挂钩,全盘遍历根目录,看有无autorun.inf.若有,参考Autorun病毒手动清除指南清除,若没有,下载一个rescue版的各大杀毒软件(卡巴,NOD32,推荐大蜘蛛,小红伞(不知道现在还有木有应急光盘了))在PE下扫描,全程请务必断网
kiritoalex
2015-05-04 21:21:29 +08:00
另外请务必检查IEFO是否被hijack掉
lalalakakaka
2015-05-05 08:16:50 +08:00
@kiritoalex 正在学着用pchunter
我能不能用这个工具监视程序行为?我想排查出来到底是哪个进程把我的explorer结束掉的。我想这样能快些~
can
2015-05-05 08:38:22 +08:00
我怎么看着就不像是中毒,应该是有什么东西跟x64 8.1的explorer不兼容导致的,信的过的话用360安全卫士人工服务下的“explorer总是崩溃”修复下。别往病毒的方向想。
kiritoalex
2015-05-05 08:43:00 +08:00
@lalalakakaka 不能
你可以试着用process tracer来跟踪进程
can
2015-05-05 08:49:10 +08:00
http://support.icafe8.com/technologynews/focus/4837.html
用Windbg+PCHunter的方法时不要开太多程序,否则会很卡的
shippo7
2015-05-05 08:49:59 +08:00
我也觉得不一定是中毒,可能是explorer.exe出现了问题。要确定是中毒至少要找到可疑进程/服务/启动项
zouxy
2015-05-05 10:24:04 +08:00
内行不会问这个问题,外行还是重装比较简单.
lalalakakaka
2015-05-05 11:29:54 +08:00
@can
使用Windbg调试explorer后,能正常打开zip和一些控制面板窗口了。异常消失了。。不能重现问题。
关掉windbg后又打不开了。。。
这是病毒的反调试功能?
can
2015-05-05 13:28:12 +08:00
@lalalakakaka Windbg只是记录explorer要加载哪些模块,问题应该还在,如果操作正确的话。
那你直接在PCHunter的进程选项卡下看下explorer都加载了哪些dll,排除掉微软的,剩下的逐一分析下。
我觉得360安全卫士人工服务下的“explorer总是崩溃”就能解决问题。
lalalakakaka
2015-05-05 14:18:51 +08:00
@can 在人工服务里没有找到“explorer总是崩溃”这一项~
can
2015-05-05 14:25:42 +08:00
这搜不到?
lalalakakaka
2015-05-05 14:35:27 +08:00
@can
我擦。。。
lalalakakaka
2015-05-05 14:41:19 +08:00
@can 现在我整个人都要崩溃了。。难不成我装的360和你的360版本不一样。。
can
2015-05-05 14:46:01 +08:00
@lalalakakaka 版本不一样吧,只搜explorer呢。那你尽可能关掉所有无关的程序,打开PCHunter--进程--右击explorer.exe--查看进程模块--点文件厂商按厂商排序,看看都有哪些可疑的dll文件被加载了
lalalakakaka
2015-05-05 14:54:20 +08:00
@can 依然搜不到~这个抽风抽的太奇怪了。难不成360对不同系统有兼容性检查,这个工具默认在win8.1x64上不能用?
对explorer下的模块排查下,没有数字签名的那几个我都看了,都没问题。现在是有很多dll是红色高亮的,这个不清楚是不是有问题。然后所有这些模块都不能手工卸载,一旦卸载就会导致explorer重启。
can
2015-05-05 15:00:46 +08:00
@lalalakakaka 红色显示的都是隐藏(异常)模块,你截个图呗
Huadb
2015-05-05 15:06:16 +08:00
这个时候就没人喷360了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/188433

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX