一、背景
帮人排查电脑问题,顺便简单记录下排查过程,因为是远程排查且比较紧急,排查过程忘了截图,纯文字记录下过程及结果。
二、操作系统
Win7 x64
三、问题现象
- explorer资源管理器不断报错重启(主要反馈修复的问题)
- 打开IE\CHROME浏览器被挟持到指定主页(恶意站点信息:*.660055.com)
四、排查步骤
本次主要使用了 【火绒剑】的系统行为监控及钩子扫描模块进行排查
首先,通过【火绒剑】行为监控,监控Chrome启动行为,发现启动时,被携带了恶意站点的启动参数
而启动chrome的应用是explorer.exe
那么为什么explorer启动chrome时会恶意带上这参数呢?
猜测:
结合explorer不断重启的现象猜测,比较大的可能就是explorer给挟持了,而这挟持应用又有BUG导致explorer不断地报错重启。
验证:
继续通过【火绒剑】进程模块-钩子分析,发现explorer进程加载的模块多了几个yyhp_w.dll的加载
并预期地挟持了CreateProcess相关函数,遂定位到这个模块位置,将相关文件进行了强制删除
删除后,重启explorer.exe,系统恢复正常。
最后,重新用火绒进行了病毒查杀,在原本杀不出任何病毒的情况下,这次竟然杀出了2个病毒:
- 一个是下载者
- 一个是驱动相关病毒
病毒查杀结果截图:

本文记录了一次远程排查Win7 x64系统中浏览器主页被挟持及explorer资源管理器异常的情况。通过火绒剑监控发现Chrome启动时存在恶意参数,疑似explorer被挟持。使用火绒剑的钩子分析模块定位到恶意模块并删除,最终成功恢复系统正常。在清除挟持模块后,火绒查杀了两个病毒——下载者和驱动相关病毒。总结中建议遇到类似问题时,可以先尝试常规杀毒软件,若无效则可能需要深入排查或重装系统。
264

被折叠的 条评论
为什么被折叠?



