有誰知道這是一種什麼病毒? 要怎麼移除?

Jach

前一陣子裝了ThreatFire之候, 它經常攔截到這個SETU.EXE要被執行. 奇怪的是它每次所出現的目錄都不同(如圖示), 而且即使在勾選所要的動作讓ThreatFire反應之前, 我就先行檢查C:\WINDOWS\TEMP目錄, 那時還可以找到這個目錄和檔案了(CR_xxxxx.TMP\SETUP.EXE), 但是在執行過ThreatFire後(Kill the process), 它就不見了. 所以平常TEMP目錄裏是沒這個東東的, 只有在這時才出現一下. 這是怎麼做到的? 把自己隱藏的這麼好! 這台電腦裝有免費版的Avast free antivirus, 但是它對此完全沒反應

有人知道怎麼處理這個問題嗎?

[重新編輯: 修改錯別字, 內容]

hall

没见过。
搭车问一下，不小心被流氓软件绑架了主页，开始是一个奇怪的域名，然后马上跳转到hao123，这个怎么破，试了一些办法没效果。

7nian

hall 发表于 2015-6-30 15:19
没见过。
搭车问一下，不小心被流氓软件绑架了主页，开始是一个奇怪的域名，然后马上跳转到hao123，这个怎 ...

看快捷方式

hall

7nian 发表于 2015-6-30 17:17
看快捷方式

应该不是快捷方式的问题，在哪里打开浏览器都会这样的。IE和chrome都被改了。查看主页设置的没问题，好像是浏览器打开后自动填入了跳转地址一样。

kalo

hall 发表于 2015-6-30 15:19
没见过。
搭车问一下，不小心被流氓软件绑架了主页，开始是一个奇怪的域名，然后马上跳转到hao123，这个怎 ...

【为什么有人说「百度全面降低了中国的互联网体验」？】
http://www.zhihu.com/question/29740126/answer/45532298 （分享自知乎网）

作为一个前it工程师，在避免静默安装或者安装后的卸载清理这方面，自己还是有点办法的，真是难以想象那些对电脑不是很懂的人，是如何忍受这群流氓无赖糟蹋她的电脑的。

但是前些日子百度hao123绑架Chrome首页，真是让我恼怒了好几天，开始以为百度修改了快捷方式或者Chrome设置或者注册表之类的，把所有这些翻了个遍，没有找到原因，后来在网上搜索才知道，百度这流氓侵入了explorer.exe，用户运行Chrome时，其实是explrer.exe在执行启动的命令，在其底层dll函数调用时，有个地方被百度的钩子函数绑架，最终启动Chrome的函数，被传入了command line，内含hao123网址！彻底的解决方式比较复杂，这儿有一个简单的，因为被劫持的explorer.exe 只对进程名chrome.exe有效，所以你只需要修改chrome.exe的名字便可，建议修改为hao123sb.exe 或者baidusb.exe效果更佳。

一个巨头互联网公司，居然采用如此下作的流氓手段，真是让人瞧不起，不管是大老板，还是项目经理，还是最终的执行者：一线程序员，你们都是败类，是这个时代的耻辱，是这个行业的垃圾！希望百度里面的人能看到，老子对你们的鄙视。

来自k378 西宁 一 南京 卧铺车厢
编辑于 2015-04-22

hd12

7nian 发表于 2015-6-30 17:17
看快捷方式

看我的这个帖子
http://www.amobbs.com/forum.php? ... =5626064&extra=

lengshuicha

这个软件国内很少用，这里恐怕帮助不了楼主啊。

Jach

lengshuicha 发表于 2015-6-30 20:26
这个软件国内很少用，这里恐怕帮助不了楼主啊。

我想問的並不是ThreatFire怎麼用, 而是有沒有人知到這個病毒, 或者他的掃毒軟件曾經抓過這個. 我對ThreatFire感興趣的原因, 是因為它並不依賴病毒碼掃毒. 依病毒碼這種方式掃毒, 永遠是跟在病毒後面跑, 你只能禱告不要在病毒碼沒更新之前就碰到它. 從理論上講, ThreatFire甚至可以攔截尚未出世的病毒.

hall

kalo 发表于 2015-6-30 19:07
【为什么有人说「百度全面降低了中国的互联网体验」？】
http://www.zhihu.com/question/29740126/answe ...

我靠，原来是这么回事！感觉你的解释很靠谱，我回去试试！多谢~~

hall

hd12 发表于 2015-6-30 19:43
看我的这个帖子
http://www.amobbs.com/forum.php?mod=viewthread&tid=5626064&extra=

检查过启动项，只留下微软自己的启动项了。可疑进程也查过，没发现什么异常。可能不太一样？
对了，你这种情况我以前好像遇到过，删过就没事了，不过这次不是。

sohappyoh

楼主，你可以用这个，先手动删除病毒文件，然后把可以的启动项关掉，重启后再扫一次毒，如果还有的话，说明你的系统某些文件已经被病毒感染了，只能重装系统了

Jach

sohappyoh 发表于 2015-7-1 09:42
楼主，你可以用这个，先手动删除病毒文件，然后把可以的启动项关掉，重启后再扫一次毒，如果还有的话，说明 ...

謝謝sohappyoh,

這個病毒出現的時間不定, 有時一天能看到它兩三次. 當它沒出現時, 這個目錄和檔案(CR_xxxxx.TMP\SETUP.EXE)是不存在的. 當它出現時, 刪它也沒意思, 因為它自己會把它刪掉. 現在要找到是哪個程式在搞鬼? 又躲在哪裡? 對我來說像是Mission Impossible.

這個小工具要怎麼用來找出它呢? 有使用說明嗎?

TAIMAN

阁下系统是否安装有 ‘chromium’ 相关软件，如有便是软件自动更新程序。

Jach

TAIMAN 发表于 2015-7-6 20:19
阁下系统是否安装有 ‘chromium’ 相关软件，如有便是软件自动更新程序。

您是說Google Chrome嗎? 有的, 幾年前安裝過, 用了一兩天就擺著沒用了. 改用FireFox了. 如果是它, 那是不是把它卸載就好了呢?

lyrics131415

肯定是看了或者下载了什么不干净的东西

Jach

lyrics131415 发表于 2015-7-7 16:10
肯定是看了或者下载了什么不干净的东西

大哥, 解決問題先, 這個以後再說

jiaowoxiaolu

上次帮家人装机下了个搜狗结果也被木马了，怎么打开浏览器都是跳转到一个垃圾网站，各种杀毒都没用，最后是用了360急救箱清理掉的，看来也只能用流氓软件来对付流氓软件了，楼主可以试试

redchina

1可能是某个程序在自动更新
2有自动运行的病毒
3有捆绑程序

解决方法：看有没有不正常的自启动程序，在任务管理器中查看进程是哪个程序创建的，

lyrics131415

定位到那个软件的路径，用PE启动，找到那个文件，删除，然后用同名文件代替，设置只读

再正常启动系统，然后杀毒。。推荐用江民杀毒

Jach

jiaowoxiaolu 发表于 2015-7-7 19:36
上次帮家人装机下了个搜狗结果也被木马了，怎么打开浏览器都是跳转到一个垃圾网站，各种杀毒都没用，最后是 ...

請流氓對付流氓? 這不好吧

Jach

lyrics131415 发表于 2015-7-8 08:32
定位到那个软件的路径，用PE启动，找到那个文件，删除，然后用同名文件代替，设置只读

再正常启动系统，然 ...

聽起來挺複雜的. 問題是它出現的時候, Windows不讓你對它做任何事. 名字每次不一樣, 而且離開後就不見了. 還真不知道要怎麼對付.

lyrics131415

Jach 发表于 2015-7-9 18:02
聽起來挺複雜的. 問題是它出現的時候, Windows不讓你對它做任何事. 名字每次不一樣, 而且離開後就不見了. ...

那就用PE系统启动，然后在PE系统中杀毒，有这样的工具的，很方便

如通用PE工具箱

Jach

13樓說得對, 今早把Chrome御載了之後, 到目前為止都沒看到它出現了. 奇怪的是又沒執行, 它在做什麼呢? 現在的程式是不是都習慣在暗中鬼搞些什麼而不讓使用者知道?

espflykite

看路径似乎不像病毒
反而像一些软件自动更新
如果能取得exe文件的话
复制出来用在线杀毒扫一下看看

Jach

沒辦法取得. 在這個exe出現時(ThreatFire欄截之後, 做動作之前) Windows拒絕Copy.