V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
PHPwind
V2EX  ›  Windows

这个病毒真的无法除掉吗?

  •  
  •   PHPwind · 2016-02-13 10:10:03 +08:00 via iPhone · 4760 次点击
    这是一个创建于 3214 天前的主题,其中的信息可能已经有所发展或是发生改变。

    xp 系统,所有浏览器都被强制设置为 hao.ylmf.xxx ,金山卫士,毒霸, 360 卫士,什么急救箱,主页修复都试过了,注册表搜索找不到 ylmf ,快捷式没有带尾巴,求 v2 大神

    第 1 条附言  ·  2016-02-13 19:15:55 +08:00
    实在没有办法,重装了系统, ylmf.com 这个该死的东西终于消失了
    43 条回复    2016-02-14 09:46:08 +08:00
    xiaodaigou
        1
    xiaodaigou  
       2016-02-13 10:16:14 +08:00
    换系统
    ech0x
        2
    ech0x  
       2016-02-13 10:46:33 +08:00 via iPhone
    槽点难道不是 xp 吗?
    lin
        3
    lin  
       2016-02-13 10:50:24 +08:00
    楼上几位朋友,当然换系统是正路,
    但是我觉得楼主提出这个问题,我们是不是可以换个思路,或者换个问题思考:楼主的遇到的问题到底出在什么地方?
    tobyxdd
        4
    tobyxdd  
       2016-02-13 10:56:20 +08:00
    雨林木风??
    shuiandy
        5
    shuiandy  
       2016-02-13 10:58:04 +08:00
    提供的信息太少,建议先用 IceSword 之类的工具排查一下进程和 IE 、 Explorer.exe 的线程。
    xmh51
        6
    xmh51  
       2016-02-13 11:03:55 +08:00
    xp 就不要想了,漏洞一大堆。而且被人研究了这么多年了。搞不好是系统级别的。
    Myprincess
        7
    Myprincess  
       2016-02-13 11:06:46 +08:00 via Android
    要找到,把整个文件夹删除。我就是这样对 hao123 与 2345 的。很难弄的。
    shenqi
        8
    shenqi  
       2016-02-13 11:10:25 +08:00 via iPhone
    别告诉我你还在用 IE6
    zi
        9
    zi  
       2016-02-13 11:13:32 +08:00
    看看浏览器快捷方式的属性中“目标”后面是不是跟了一坨 url
    tuzhis
        10
    tuzhis  
       2016-02-13 11:19:07 +08:00
    能强制所有浏览器的多是加载驱动实现的,浏览器主文件改名可以治标,治本找到那个驱动杀了就好了。另外我想吐槽的是就不能找个杀毒专业的来杀么!!
    PHPwind
        11
    PHPwind  
    OP
       2016-02-13 11:56:39 +08:00 via iPhone
    @shenqi ie9 谷歌浏览器也被锁定
    PHPwind
        12
    PHPwind  
    OP
       2016-02-13 11:57:44 +08:00 via iPhone
    @zi 没有的
    PHPwind
        13
    PHPwind  
    OP
       2016-02-13 11:59:32 +08:00 via iPhone
    @tuzhis 求推荐
    yeyeye
        14
    yeyeye  
       2016-02-13 12:11:25 +08:00   ❤️ 1
    对于没有自查病毒能力的用户,还是老老实实的新建一个快捷方式在后面加上首页网址吧。

    真的很难跟你解释“如何解决此类问题”,因为十几年前就有这样的情况了,杀毒软件都给不了你通用的解决方案,只能绑定而不是直接查杀。

    另外没有自查病毒能力的用户,还不装杀毒类软件的话,很容易长期进驻病毒却不自知,言尽于此
    kuxiazi
        15
    kuxiazi  
       2016-02-13 12:14:58 +08:00 via Android
    鬼影? MBR 病毒 不杀掉就算重装系统都白搭
    PHPwind
        16
    PHPwind  
    OP
       2016-02-13 12:17:56 +08:00 via iPhone
    @tobyxdd 嗯嗯雨林木风的流氓网址
    PHPwind
        17
    PHPwind  
    OP
       2016-02-13 12:18:13 +08:00 via iPhone
    @lin 真的超顽固
    paradoxs
        18
    paradoxs  
       2016-02-13 12:20:41 +08:00
    http://www.360.cn/jijiuxiang/
    这个东西救不了的话,没别的能救了。
    wy315700
        19
    wy315700  
       2016-02-13 12:26:21 +08:00 via Android
    组策略里找找
    congeec
        20
    congeec  
       2016-02-13 12:30:01 +08:00
    内核级别的 hook 你就死心吧,这破玩意儿有漏洞微软也不管
    pimin
        21
    pimin  
       2016-02-13 12:50:00 +08:00 via Android
    楼上都说得太玄乎了。。。
    排查方式不在乎几点
    1.有没有后台进程实时检测
    2.有没有短网址写入注册表

    1 是比较好排查的,可以先做启动项排查,虽然 Windows 启动方式很多,但是太多工具已经帮忙整理出来了。如果排查不到,新下载个无名的浏览器做测试,如果也被劫持,说明有后台进程,继续考虑查毒。
    2.打开 ie 相关注册表位置,看看有没有莫名其妙的网址,有就再搜索替换,没有也没什么办法。
    如果别的浏览器都搞定了,只剩下 IE 搞不定,就充值 IE 为默认设置,然后重启电脑即可。
    laiyingdong
        22
    laiyingdong  
       2016-02-13 12:55:32 +08:00
    别告诉我你用了 Ghost 系统 不过这年代 XP 当然被嫌弃啦
    bdbai
        23
    bdbai  
       2016-02-13 13:01:08 +08:00 via iPhone
    @PHPwind XP...IE 9 ?
    roustar31
        24
    roustar31  
       2016-02-13 13:21:35 +08:00
    这种情况我见过几次,一般是系统被种下了驱动级别的木马。
    驱动文件有签名,国内某些软件是白名单的了的。所以拿这些查不出来什么东西
    不是什么内核漏洞,也不是注册表快捷方式 url (这都烂到家的招数)
    isnowify
        25
    isnowify  
       2016-02-13 13:27:55 +08:00 via iPhone
    @PHPwind XP 要上 iOS9...天了噜…
    isnowify
        26
    isnowify  
       2016-02-13 13:28:44 +08:00 via iPhone
    @isnowify IE9 …狗带的自动更正
    chalio
        27
    chalio  
       2016-02-13 13:56:00 +08:00
    pchunter 试试
    VmuTargh
        28
    VmuTargh  
       2016-02-13 13:57:10 +08:00
    wsyschk
    kn007
        29
    kn007  
       2016-02-13 13:58:31 +08:00
    你居然能用 IE9 。。。或许浏览器本身就是个问题。。。
    Aquamarine
        30
    Aquamarine  
       2016-02-13 14:18:12 +08:00
    wclebb
        31
    wclebb  
       2016-02-13 14:19:36 +08:00
    额,怎么说呢。
    你看看 Explorer.exe 是不是其中 Explorer.exe 的 l 被写成了 1 或大写 I 。
    Aquamarine
        32
    Aquamarine  
       2016-02-13 14:20:30 +08:00
    @PHPwind XP 可以装 IE9 ?所有浏览器都中,那一定是系统级别的问题了,找款 ARK 一项项看过来吧。
    @wy315700 组策略也是通过注册表起作用的。
    wy315700
        33
    wy315700  
       2016-02-13 16:17:11 +08:00 via Android
    @Aquamarine 之前测试的时候发现组策略优先级比注册表高
    Aquamarine
        34
    Aquamarine  
       2016-02-13 17:00:25 +08:00
    @wy315700 你是如何测试的?优先级可否举个例子?
    gamexg
        35
    gamexg  
       2016-02-13 17:35:30 +08:00
    可以动手脚的地方太多了,下个 autoRuns 按个检查驱动、映像劫持等内容。
    也可以试试通过 procexp 检查下浏览器父进程、启动参数。
    gamexg
        36
    gamexg  
       2016-02-13 17:40:21 +08:00
    对了,尝试切断网络再打开浏览器看看 url 到底是什么。
    有些恶意劫持为了防止被搜索注册表找出来,默认主页是另一个地址,通过重定向转到 hao.ylmf.xxx
    googlefans
        37
    googlefans  
       2016-02-13 19:35:40 +08:00
    @xmh51 不明白为什么现在银行 (开通网银后需要激活 大堂经理用的那个电脑竟然是 xp )商场各种柜台电脑大部分也都是 xp
    PHPwind
        38
    PHPwind  
    OP
       2016-02-13 19:53:14 +08:00 via iPhone
    @kn007 打错了,是 8
    PHPwind
        39
    PHPwind  
    OP
       2016-02-13 19:53:42 +08:00 via iPhone
    @bdbai 打错了
    Quaintjade
        40
    Quaintjade  
       2016-02-13 20:12:11 +08:00 via Android
    @googlefans
    1.更换代价高(从驱动到用户界面程序各种支持)
    2.够用
    3.系统和软件测试运行这么多年,发现和修复 N 多 bug ,足够稳定
    4.使用环境相对封闭,即使有漏洞也不一定能被利用(比如只能访问内网, USB 被物理封死之类)
    ipconfiger
        41
    ipconfiger  
       2016-02-13 20:21:31 +08:00
    退瘟到死保平安
    ZHenJ
        42
    ZHenJ  
       2016-02-13 22:17:05 +08:00
    @googlefans
    @Quaintjade

    还有一个,更换新机器要上面给指标,不能自己随便买
    wbsdty331
        43
    wbsdty331  
       2016-02-14 09:46:08 +08:00
    XP 最多 IE8 啊?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1074 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:23 · PVG 02:23 · LAX 10:23 · JFK 13:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.