帮人排查电脑问题,顺便简单记录下排查过程,因为是远程排查且比较紧急,排查过程忘了截图,纯文字记录下过程及结果。
Win7 x64
本次主要使用了 【火绒剑】的系统行为监控及钩子扫描模块进行排查
首先,通过【火绒剑】行为监控,监控Chrome启动行为,发现启动时,被携带了恶意站点的启动参数
而启动chrome的应用是explorer.exe
那么为什么explorer启动chrome时会恶意带上这参数呢?
猜测:
结合explorer不断重启的现象猜测,比较大的可能就是explorer给挟持了,而这挟持应用又有BUG导致explorer不断地报错重启。
验证:
继续通过【火绒剑】进程模块-钩子分析,发现explorer
进程加载的模块多了几个yyhp_w.dll
的加载
并预期地挟持了CreateProcess
相关函数,遂定位到这个模块位置,将相关文件进行了强制删除
删除后,重启explorer.exe,系统恢复正常。
最后,重新用火绒进行了病毒查杀,在原本杀不出任何病毒的情况下,这次竟然杀出了2个病毒:
病毒查杀结果截图:
清理后,系统重启后仍正常。
至此,查杀过程结束。
最后这里其实还有一个疑问:
为什么 原本杀不出任何病毒的情况下,清理掉explorer挟持模块文件后,再次查杀就杀出了2个病毒?
猜测:
前面的yyhp_w恶意模块对杀毒软件起到了干扰作用,导致扫描结果有误?
已提交病毒样本,待火绒工程师进行进一步的分析。
遇到这类病毒问题首先还是先用360、火绒、火绒顽固木马专杀工具查杀一遍,能直接解决问题就最好。如果通过杀毒软件仍不能解决问题,非专业人员 或者 不想折腾的,也可以考虑直接重装系统解决。但这次时间比较紧,且 查杀过后都仍无法解决问题,前两者无法扫描到任何病毒,最后的专杀工具能杀到两个病毒,但查杀后也仍无法解决问题,重启后也再无法查杀到新的病毒。然后抱着玩下的心态,简单重温了下相关知识。