Storm_Center - 病毒救援

可疑的计划任务CreateExplorerShellUnelevatedTask.job

流风33 — Wed, 22 Jan 2025 15:36:00 +0800

最近杀毒软件的定时扫描从电脑的Windows 11系统里扫出一个可疑的计划任务：CreateExplorerShellUnelevatedTask.job，文件位置：c:\windows\system32\tasks。从搜索的信息来看，应该是误报，实际上它是WIN11创建的一个正常的计划任务，用于防止用户和应用程序以提升权限运行 Windows 资源管理器进程……

……

U盘中了个synares病毒

流风33 — Fri, 01 Nov 2024 15:46:54 +0800

拿U盘给同事的笔记本电脑重装系统，中间因为拷文件，U盘在我的电脑与重装系统的笔记本间来回插，在接入我的电脑的瞬间，电脑上的杀毒软件报告说有病毒，当时没有在意，因为我的U盘一直是当工具盘用，里面各种乱七八糟的软件工具都有，难免不来个误报，一般如果只是报告病毒的话，我就忽略，如果真的杀了，就得从隔离区里救回来并加个信任，结果这一次稍微注意看了看，发现病毒类型是感染型，病毒名称是synares。

清理流氓软件的方法

流风33 — Wed, 01 Dec 2021 13:44:01 +0800

　　流氓软件严格来说算不上病毒木马，因为本身没有对计算机进行学术意义上的危害，但是它们借用木马的传播方式与技术，后台抱团下载安装到用户电脑，导致用户的电脑卡顿，实现推广盈利之目的。对于怎么清理这类流氓推广软件，确实没有比较好的方法，我曾尝试通过网络防火墙拦截对应关键字的域名，但是效果不明显，可以拒绝一部分下载，却拦不住黑名单之外的软件与域名，而且这种拦截也有局限性，不仅受限于添加域名的数量与种类，也受限于防火墙的功能与规则。

流氓推广后台下载

流风33 — Fri, 29 Oct 2021 14:45:33 +0800

　　同事说她的电脑不停弹窗，而且很卡，一看又是各种国产推广软件，已经卸了好几轮，但还是会在后台自动下载安装。先按常规的方法断网，再卸载各种国产套皮软件，压缩、桌面壁纸、数据恢复、记事笔记、看图、PDF等，然后再清理服务、驱动、计划任务、注册表启动项等可能隐藏后台下载的地方，还清了临时文件夹，把后台下载完和没下载完的都干掉，重启，好像清静了，插上网线，过了一会，跳出个16位MS-DOS Subsystem窗口，说在临时目录里有个可执行文件，然后The NTVDM CPU has encountered an illegal instruction，同时还有一个黑色窗口，不过标题栏上的文件名不是前面提示窗口上出现过的名字，但位置还是在临时目录里，类似的窗口接连跳出好几个来，看来这自动下载又回来了。

处理tasksche.exe病毒

流风33 — Fri, 09 Apr 2021 10:25:29 +0800

　　接到一起攻击报告，中毒设备只连内网，并不能上外网，据说该设备有攻击行为发生，随便检查了一下，没发现可疑项，懒得细看，直接上杀毒软件，原来没有装过，直接装上扫描，发现一个c:\windows\tasksche.exe，报为Wannacry勒索病毒，这个被杀毒软件清除掉了，顺便在cmd里运行netstat -ano，还有试图一些连外网IP的连接，按PID在任务管理器的进程表里查了下，也是c:\windows\下的，mssecsvc.exe，转到服务，真有一个服务，刚才查启动项时竟然没有注意到，服务名是Microsoft Security Center(2.0) Service。

Issas.exe病毒

流风33 — Wed, 05 Aug 2020 11:02:36 +0800

　　好久没玩过杀毒了，竟然今年抓到两次，都是这个Issas.exe，路径是c:\windows\Issas.exe，注意文件名第一个字母是大写的i，系统里也有一个lssas.exe，第一个字线是小写的l，与大写的i放在一起电脑里看上去基本是一样的，但“好”文件lssas.exe是在c:\windows\system32\下，与病毒Issas.exe的路径不同。

终于发现隐藏的“找找啦”

流风33 — Wed, 13 Dec 2017 14:56:16 +0800

　　这个“找找啦”导航网页www.zhaozhaola.com在很长一段时间内总是出现在家里的台式机里，不仅篡改IE主页，还添加了浏览器收藏夹、快速启动栏、桌面快捷方式等地方，每次清理完，过上一段时间就卷土重来，甚至有一段时间不得不把快捷方式加上只读属性来屏蔽。我始终没有找到根源在哪，开始还以为是家里老人上网误点了什么，直到昨天才发现原来它的窝点是千彩手写板程序HandWriting.exe。

Petya勒索软件作者公开解密主密钥

流风33 — Tue, 11 Jul 2017 11:08:42 +0800

　　“Petya勒索软件背后的作者公开了解密主密钥。主密钥可用于解密所有版本的 Petya 勒索软件，但最近流行的 NotPetya 除外。NotPetya 伪装成 Petya 勒索软件，其目的被认为是为了破坏数据，本质上与 Petya 无关。Petya 作者将主密钥上传到了文件共享网站 Mega。安全研究人员已经证实了密钥的真实性。专家相信 Petya 作者公开主密钥的动机旨在与 NotPetya 攻击切割，避免在 NotPetya 攻击之后受到调查或被控发起了 NotPetya 攻击。”

一例主页被篡改成826...

流风33 — Thu, 23 Feb 2017 14:27:03 +0800

　　这是电脑报论坛上看到的一例求助，原帖说IE主页被改成826什么的，网址都是数字，注册表已经清理过了，但每隔三四天又重新被写入。这个现象很象以前我遇到的主页被改成927927那个事，正好求助帖提供了一个SREng扫描的日志，虽然这工具好久都没人用了，看日志也累多了，但因为有前车之鉴，直奔目标，在驱动程序里果然有这个东西……

随机跳转hao123

流风33 — Fri, 28 Oct 2016 14:07:03 +0800

　　这个跳转hao123并不是病毒、木马劫持或篡改IE或其他浏览器的主页，而是打开特定的网页时有机率地跳到hao123上，跳转后出现的hao123后带的tn小尾巴都是相同的一组数字。而特定的网页是偶然发现的，装的系统是win10，进入设置-隐私-常规，点击右边最后面的“管理我的Microsoft广告和其他个性化设置信息”，就会随机跳转。

如何防御勒索软件

流风33 — Tue, 17 May 2016 14:29:59 +0800

　　对于勒索软件，安全专家们一般建议用户主动保护，而不向犯罪分子支付赎金。所谓主动就是备份。备份的重要性我也说过多次，不用再重复。所以主动防御第一招就是备份，千万多选几种备份方式，就算是只备份一次，也考虑备份在不同的介质上，不要都放在同一台计算机里，比如U盘、移动硬盘、网盘、NAS，再不济也放到另一台电脑上，如果有的话。

烦人的www.927927.com

流风33 — Thu, 10 Mar 2016 15:42:01 +0800

　　安装完win10后就有一个网址死活赖在系统里不走，就是www.927927.com/?Axxxx，打开IE和Edge就就是它，然后很快就转到web.sogou.com/?xxxxx，这两个网址后面的x代表不同的数字组合，应该是推广编号，前面927927后的面的数字在我每次清理后重新出现时都会改变，以下是我的一系列清理历史。

“勒索病毒”瞄准白领“电脑裸奔族”

转载 — Mon, 07 Mar 2016 21:15:15 +0800

　　从2015下半年开始，国内“勒索病毒”案例骤增，这类病毒会将电脑文件恶意加密，然后索要钱财，为了解锁一些高价值文件资料，受害者必须交付数千至数万元的赎金。那些不装安全软件，让电脑“裸奔”的白领和政府办公人群，是该类病毒重点“瞄准”的目标。

加密勒索软件的防范——2015回顾补充

流风33 — Wed, 27 Jan 2016 10:28:07 +0800

　　写2015年回顾时把它给忘了，加密勒索软件，算是病毒新品种，用高级的加密方式对中毒电脑上的的所有文档、图片加密，连FBI也曾承认难以解密，建议支付赎金，当时也只有少数几种有杀毒软件出过可恢复的专杀工具，大多数也没招对付，当然随着时间，越来越多的杀毒软件（包括国内）推出自己的针对特定变种的专门恢复工具，但总的情况来看并不能良好地解决，毕竟用的加密方式本来就是用来安全保密不让破解的，能解决的其中一部分还是利用病毒制造者不经意留下的漏洞和一些运气。

警惕，敲诈者病毒

流风33 — Wed, 28 Jan 2015 20:45:10 +0800

　　据网上相关信息，敲诈者病毒，有命名为CTB-Locker，将导致电脑重要文件被加密，无法正常打开。此病毒是通过邮件的方式传播，邮件内容为电子传真，且带有一个后缀为.zip的压缩文件，打开后里面有exe、scr等可执行文件，点击运行会打开一个RTF文档，模仿电子传真内容误导用户，用户因为点开该文件而中木马病毒，初期现象为电脑反应速度变慢，随后电脑中的docx/doc、xls、jpg、pdf、xlsx等文件被强制添加了随机后缀名，成为加密文件而无法打开，……