论坛 › ＰＣ数码 › 昨天中了个木马

Nosgoth 发表于 2013-5-19 15:35

昨天中了个木马

系统是win7 64旗舰，具体表现为突然一块全屏ie窗口把所有东西遮盖，桌面无法看到，无法打开任务管理器，那个ie窗口具体网页打不开。重新启动桌面闪现后又是一块白屏（估计是因为把网线拔了，ie窗口就一直处于读取状态）把所有东西遮盖，还是无法打开任务管理器。再重启进安全模式，一进就自动重启，唯一不重启的是命令行安全模式，这个模式能打开任务管理器。但在这个模式下没什么能干的，不知道木马具体键值，也不能从注册表里改。

然后用Google搜，国内搜不出一样的症状，在外国倒是有不少类似的，说那个白屏如果显示出来一般是什么司法部或者fbi锁定了你的电脑，需要交几百美元罚款...
提到的解决方法是用什么hitman pro建立个kickstart启动u盘。我用平板下载后把hitman pro拷进了u盘，电脑重启进命令行安全模式，运行hitman pro，先是查了毒，有四个可疑文件，有两个基本确定无问题，google的update和招行的网银保护，另外两个一个是fc3下的pnkbstr，一个是roaming下面的skype（这个最可疑，从来没装过skype）。决定把后面两个删了，结果tm删除需要激活hitman pro，激活又需要联网。我就准备先做kickstart盘，结果又tm要下载...时间都是凌晨4点了，老子要睡觉了。

等到今天，跑到兄弟家里做了个kickstart盘，用那个启动电脑。正常模式还是不行，能看到hitman pro启动了，当时还是被白屏遮盖了，最后用那个legacy mode进入了带网络的安全模式，这种模式下之前是一进就重启，但是现在会提示hitman pro阻止了重启，可以关闭程序直接重启。当然不关，用alt+tab切换到hitman pro，重新扫毒，把那个pnkbstr和skype删了。再次重新启动，这次能正常进入桌面了。之前那个解决方法说用malwarebytes软件再杀毒，下了个查了下，扫到注册表里有16个木马，具体如下：
HKCR\AppID\{1DD31B76-C57E-49ba-94BC-BF53F0C82CD4} (PUP.Funshion) -> 隔离和删除成功。
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1DD31B76-C57E-49ba-94BC-BF53F0C82CD4} (PUP.Funshion) -> 隔离和删除成功。
HKCR\CLSID\{11CC93E4-0BE6-4f8f-82AA-D577FB955B05} (PUP.Funshion) -> 隔离和删除成功。
HKCR\TypeLib\{F9BC0421-BB5C-447d-8547-BB45AFA80A4D} (PUP.Funshion) -> 隔离和删除成功。
HKCR\Interface\{4D89001B-5B5B-4E76-A1F5-638E49DB7A58} (PUP.Funshion) -> 隔离和删除成功。
HKCR\AddressSearch.JsObject.1 (PUP.Funshion) -> 隔离和删除成功。
HKCR\AddressSearch.JsObject (PUP.Funshion) -> 隔离和删除成功。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11CC93E4-0BE6-4F8F-82AA-D577FB955B05} (PUP.Funshion) -> 隔离和删除成功。
HKCR\CLSID\{91878E42-FC03-4785-B513-1F9E613D1027} (PUP.Funshion) -> 隔离和删除成功。
HKCR\TypeLib\{D02E3AB9-7796-40cb-BDFC-20D834FE1F75} (PUP.Funshion) -> 隔离和删除成功。
HKCR\Interface\{FCB380C4-D350-44BE-8791-50216F4747AC} (PUP.Funshion) -> 隔离和删除成功。
HKCR\ASBarBroker.BDBroker.1 (PUP.Funshion) -> 隔离和删除成功。
HKCR\ASBarBroker.BDBroker (PUP.Funshion) -> 隔离和删除成功。
HKCR\CLSID\{FBEDBA6C-44A2-43b9-BD49-20EB6E0C4E86} (PUP.Funshion) -> 隔离和删除成功。
HKCR\AddressSearch.SnavHttpProtocol.1 (PUP.Funshion) -> 隔离和删除成功。
HKCR\AddressSearch.SnavHttpProtocol (PUP.Funshion) -> 隔离和删除成功。
HKCR\thunder (Trojan.Agent) -> 隔离和删除成功。

整完了又重新启动，现在暂时来看木马是清除了。说这么多就是想让各位注意，另外推荐个杀毒软件，电脑装的瑞星锤子鸡巴用都没有，用的这个malwarebytes 10多天就过期了。

qhlixpfh 发表于 2013-5-19 15:57

瑞星不是娱乐公司吗 什么时候做杀毒软件了

aiyoyo 发表于 2013-5-19 16:02

瑞星当年很好的吧。 免费后不知道咋样

qwased 发表于 2013-5-19 16:06

瑞星小狮子很可爱。什么，你说杀毒？瑞星还能杀毒？

----发送自 OUSHENG iOCEAN X7,Android 4.2.1

icowei 发表于 2013-5-19 16:31

司法部或者fbi锁定了你的电脑

jeremylin 发表于 2013-5-19 16:55

淘宝几块钱诺顿搞定，楼主有这修复技术还用狮子，呵呵，呵呵

wowow 发表于 2013-5-19 17:02

我朋友 发表于 2013-5-19 17:22

cyberalogo 发表于 2013-5-19 17:31

拼命冲次 发表于 2013-5-19 18:30

杀毒软件啊 MSE64Bit 就够用了 其他什么都不用装 MSE都解决不了的就重装系统去

无聊牛 发表于 2013-5-19 19:14

瑞星不是娱乐公司吗
MSE多好 不折腾

adrftgyh 发表于 2013-5-19 22:36

随便装个哪家公司的安全工具都可以把这些低级的东西给挡住~~~~~

shuiwuyue1 发表于 2013-5-20 00:26

瑞星居然还在杀毒？！ 不是娱乐软件么！
以前弄过一次丫连卸载都留一手

你妹夫 发表于 2013-5-20 14:58

有没有瑞星不要杀毒只要狮子的下载？

阿賴耶識 发表于 2013-5-20 18:15

引用第13楼你妹夫于2013-05-20 14:58发表的:
有没有瑞星不要杀毒只要狮子的下载？ images/back.gif

同球

tmmd 发表于 2013-5-20 18:22

这事我也遇到，我是右下角有个窗口不断要我给他打钱，说我消费了啥，关也关不掉，重启也还在，也找不到卸载的。不就是找福利的时候被旁边的图片吸引了点进去了吗。






最后，我选择了系统还原。

Nosgoth 发表于 2013-5-20 19:02

回 15楼(tmmd) 的帖子

你这个威力不够啊，我是无法系统还原，选了后直接来个还原失败，然后那个还原点也没了。而我又很不想重装，所以就用了那么多时间来清除那个东西。在网上找方法的时候发现我这个都是很多代以后的了，最开始的直接安全模式搞定。

另外这贴果然变成各种方式说我用瑞星的事了，哈哈。

404415661 发表于 2013-5-20 19:17

话说 MSE只能是正版win才可以用吧

外语太次郎 发表于 2013-5-20 21:04

回 17楼(404415661) 的帖子

KMS激活，MSE使用正常

奶香花卷 发表于 2013-5-20 21:08

引用第17楼404415661于2013-05-20 19:17发表的:
话说 MSE只能是正版win才可以用吧 images/back.gif

几块钱买的cdkey的win7可以用

查看完整版本: 昨天中了个木马