• 【杂记】Windows首页挟持病毒查杀过程记录


    一、背景

    帮人排查电脑问题,顺便简单记录下排查过程,因为是远程排查且比较紧急,排查过程忘了截图,纯文字记录下过程及结果。

    二、操作系统

    Win7 x64

    三、问题现象

    • explorer资源管理器不断报错重启(主要反馈修复的问题)
    • 打开IE\CHROME浏览器被挟持到指定主页(恶意站点信息:*.660055.com)

    四、排查步骤

    本次主要使用了 【火绒剑】的系统行为监控及钩子扫描模块进行排查

    首先,通过【火绒剑】行为监控,监控Chrome启动行为,发现启动时,被携带了恶意站点的启动参数
    而启动chrome的应用是explorer.exe

    那么为什么explorer启动chrome时会恶意带上这参数呢?

    猜测:
    结合explorer不断重启的现象猜测,比较大的可能就是explorer给挟持了,而这挟持应用又有BUG导致explorer不断地报错重启。
    验证:
    继续通过【火绒剑】进程模块-钩子分析,发现explorer进程加载的模块多了几个yyhp_w.dll的加载
    并预期地挟持了CreateProcess相关函数,遂定位到这个模块位置,将相关文件进行了强制删除

    删除后,重启explorer.exe,系统恢复正常。

    最后,重新用火绒进行了病毒查杀,在原本杀不出任何病毒的情况下,这次竟然杀出了2个病毒:

    • 一个是下载者
    • 一个是驱动相关病毒

    病毒查杀结果截图:
    在这里插入图片描述
    清理后,系统重启后仍正常。
    至此,查杀过程结束。

    最后这里其实还有一个疑问:
    为什么 原本杀不出任何病毒的情况下,清理掉explorer挟持模块文件后,再次查杀就杀出了2个病毒?

    猜测:
    前面的yyhp_w恶意模块对杀毒软件起到了干扰作用,导致扫描结果有误?
    已提交病毒样本,待火绒工程师进行进一步的分析。

    五、总结

    遇到这类病毒问题首先还是先用360、火绒、火绒顽固木马专杀工具查杀一遍,能直接解决问题就最好。如果通过杀毒软件仍不能解决问题,非专业人员 或者 不想折腾的,也可以考虑直接重装系统解决。但这次时间比较紧,且 查杀过后都仍无法解决问题,前两者无法扫描到任何病毒,最后的专杀工具能杀到两个病毒,但查杀后也仍无法解决问题,重启后也再无法查杀到新的病毒。然后抱着玩下的心态,简单重温了下相关知识。

  • 相关阅读:
    HappyGBS GB28181信令服务 - 开篇
    (Java版)大小写转换设计一个程序, 输入一行字符串, 将其中大写转为小写, 小写转为大写. 其余字符不变
    php对参数校验(名称、地址、掩码、日期、时间、端口)
    Android屏幕刷新机制
    UML 的概述 和 顺序图
    为什么重写equals 时必须重写 HashCode 方法?
    “先进”的飞书为何搞不定钉钉?
    【负荷预测】基于双向LSTM模型进行电力需求预测(Matlab代码实现)
    华为云全新上线Serverless应用中心,支持一键构建文生图应用
    洛谷P3512 [POI2010]PIL-Pilots
  • 原文地址:https://blog.csdn.net/qq_20408397/article/details/125571876