论坛 › ＰＣ数码 › 同事收到冒充税务局稽查通知的文件中了病毒被远程控制，求解

dvd6 发表于 2025-3-24 11:55

同事收到冒充税务局稽查通知的文件中了病毒被远程控制，求解

本帖最后由 dvd6 于 2025-3-24 12:42 编辑

跟这篇文的情况十分类似，即能看文中提到的相应目录存在IP-Guard的文件，有一个对应（C:\Program Files (x86)\Common Files\System\winrdgv3.exe）的服务在运行：
https://www.bilibili.com/opus/992611665632559107


不一样的地方是，D盘根目录有一个“随机稽察名录公示.et”文件，即wps表格文件，同事说当初打开的就是这个文件名（而不是上文中的exe文件）。D盘这个文件似乎是后面自动生成出来的，应该不是一开始下载的文件。被远程控制时会出现大概是remote controlling的提示，被控制后会用你微信向群里发东西（主题好像跟税务局那个不一样），应该是在继续传播病毒。
（除了现存的文件之外，有些现象是同事口述，聊天记录他删掉了，他不太懂，所以我不确定表述是否准确）


已尝试的方法：
原本电脑里只有windows自带安全中心。
直接删除IP-Guard的文件，是会重新生成的。
装了个火绒，也查不出任何问题。然后装了360，查到有被银狐利用的IP-Guard，清除之后我就把360卸载了，好像暂时没有重新生成winrdgv3.exe文件。
他今天说重新出现了D盘的.et文件，但看创建、修改时间是上周五找我处理之前的，不太确定是不是新生成的，需要继续观察。
还用过那篇文评论提到的卸载工具，但点卸载的时候总提示管理员权限（已经用管理员运行）。

现在的疑问是，杀毒软件都没有查出病毒本体，只是（可能）解决了被利用的远程控制软件而已，也许病毒的感染性还没解决，还有什么措施可以做呢？

关于备份和格式化：工作文档是要备份保留的，只是没查清楚病毒来源的话，不排除自己的文档可能被感染吧

chronicle 发表于 2025-3-24 12:10

虽然不懂，但是这个时候要做的第一件事是全盘备份。。。

gofbayrf 发表于 2025-3-24 12:12

你有什麼東西阻碍你重裝系統?

dvd6 发表于 2025-3-24 12:38

gofbayrf 发表于 2025-3-24 12:12
你有什麼東西阻碍你重裝系統?

因为好像是从文档传播的，会不会感染其他工作文档呢？

defer 发表于 2025-3-24 12:43

文件全拖出来，找个干净且没有资料的断网空电脑分析抢救。

原电脑整盘（含boot分区）抹掉重装。

论坛助手,iPhone

darkangel0224 发表于 2025-3-24 13:41

本帖最后由 darkangel0224 于 2025-3-24 13:44 编辑

你只是干掉了能看到的木马程序，但是你漏洞的门又没关上。人家照样远程植入新的程序到你终端上，而杀软又查不到这些利用漏洞的玩意儿

除非你是搞安全研究的，不然不值得在这上面浪费时间

dvd6 发表于 2025-3-24 14:32

darkangel0224 发表于 2025-3-24 13:41
你只是干掉了能看到的木马程序，但是你漏洞的门又没关上。人家照样远程植入新的程序到你终端上，而杀软又查 ...
主要就是杀软查不出病毒本体是什么，在转移文件、格式化前，有没有办法确认其他文档有没有被感染。别人的电脑我也不想浪费时间折腾，但至少防止一下别在公司里传播（总会有发文件给我的时候）

循此苦旅 发表于 2025-3-24 14:38

确定不是“随机稽察名录公示.et.exe”？

dvd6 发表于 2025-3-24 15:03

本帖最后由 dvd6 于 2025-3-24 15:05 编辑

循此苦旅 发表于 2025-3-24 14:38
确定不是“随机稽察名录公示.et.exe”？
有可能，忘了看是不是隐藏了扩展名。明天我看看这个文件有没有删掉，也许还在回收站

失落之翼 发表于 2025-3-24 15:20

电脑luo奔的么？只靠自带的安全中心？

stunflare 发表于 2025-3-24 15:24

dvd6 发表于 2025-3-24 12:38
因为好像是从文档传播的，会不会感染其他工作文档呢？

你拿杀毒软件过一下不就完事了？这病毒都是懒得糊弄的exe，你还指望有什么高端操作吗

dvd6 发表于 2025-3-24 15:26

失落之翼 发表于 2025-3-24 15:20
电脑luo奔的么？只靠自带的安全中心？

对，就靠windows自带的，其实我自己平时也是这样，现在想是不是工作电脑装一个……问题是后来装的杀软也没查出来，也许是传播不广的变种吧

stunflare 发表于 2025-3-24 15:29

dvd6 发表于 2025-3-24 15:26
对，就靠windows自带的，其实我自己平时也是这样，现在想是不是工作电脑装一个……问题是后来装的杀软也 ...

火绒查不出来正常，娱乐软件，最大的作用是感染病毒的时候死给你看，这360不给你查出来了吗

EP2 发表于 2025-3-24 15:36

断网上卡巴呀

gnihton314 发表于 2025-3-24 15:39

ipguard很多东西跑在驱动里，删起来很麻烦，建议直接重装

Augusty 发表于 2025-3-24 15:44

一个可能不够靠谱的解决办法：Windows设置里搜索“还原点”，选择中木马之前的时间点还原系统，可以将系统文件、驱动程序以及注册表还原到特定时间点。

dvd6 发表于 2025-3-24 15:45

stunflare 发表于 2025-3-24 15:29
火绒查不出来正常，娱乐软件，最大的作用是感染病毒的时候死给你看，这360不给你查出来了吗 ...

360不是查出病毒了，只是查出ipguard，还不是查病毒功能查出的，是另一个功能我忘了叫啥

dvd6 发表于 2025-3-24 15:46

Augusty 发表于 2025-3-24 15:44
一个可能不够靠谱的解决办法：Windows设置里搜索“还原点”，选择中木马之前的时间点还原系统，可以将系统 ...

我明天看看，希望他电脑没关掉这个

riin2 发表于 2025-3-25 06:10

我记得很久以前我遇到伪装成文件/文件夹的exe病毒，图标都很复古，和操作系统格格不入。比如WinXP时我遇到的文件夹exe的图标还是Win98时期的，一眼不对劲 不知道现在的病毒是啥样的，好久没有遇到过了

宵神乐 发表于 2025-3-25 07:20

硬盘拆下来找个别的电脑接上去全盘查杀
论更新补丁的重要性

noahhhh 发表于 2025-3-25 08:10

文件查杀备份，系统重装。只用wd建议再里面打开内核隔离和内存完整性，新电脑会默认开安全性高非常多

netplaying 发表于 2025-3-25 11:18

遇到这种情况我一般是防火墙先全部禁止联网，哪个程序需要联网再一个个开权限，这样也容易查出问题。

查看完整版本: 同事收到冒充税务局稽查通知的文件中了病毒被远程控制，求解