Chiphell - 分享与交流用户体验

标题: 汗流浃背了，病毒把几乎所有系统进程都禁用了 [打印本页]

作者: ttt5t5t 时间: 2024-5-16 14:03
标题: 汗流浃背了，病毒把几乎所有系统进程都禁用了
一台电脑无法上网，让我过去检查下
IP配置没问题，但是ping不到网关，刚开始怀疑网线挂了，换了条线还是不行
查了同交换机上的设备有网，打算下个wireshark抓个包看看啥问题
插U盘前多了个心眼，怕U盘中毒，准备看下有没有可疑进程，结果好嘛
右键任务栏-任务管理器灰色的
Ctrl-Alt-Del-没有任务管理器
运行-taskmgr-管理员禁用任务管理器
运行-gpedit.msc-管理员禁用组策略
运行-regedit-管理员禁用注册表
我一看来着不是善茬，直接关机重装系统了
杀毒？杀个屁，全盘格式化走你！
装完还是把原IP配上，网是好的，看来上不了网也是病毒的锅
总结：万般运维，此乃至上妙法：重装

作者: 衰败灼烧 时间: 2024-5-16 14:11
一般没特殊要求就直接重装
但是我们公司傻子太多重装20分钟配置能烦你20天

作者: nekotheo 时间: 2024-5-16 14:14
像以前维金喜欢干的事

作者: wangluowl 时间: 2024-5-16 14:14

衰败灼烧发表于 2024-5-16 14:11
一般没特殊要求就直接重装
但是我们公司傻子太多重装20分钟配置能烦你20天 ...

握手！

作者: Lentrody 时间: 2024-5-16 14:19
本帖最后由 Lentrody 于 2024-5-16 14:22 编辑

经常搞这些还是得有个带写保护开关的U盘，这两天中招两次了，还好只是常见的隐藏文件夹替换成同名程序那种。
另外格盘之外最好重建下MBR。

作者: ttt5t5t 时间: 2024-5-16 14:25

Lentrody 发表于 2024-5-16 14:19
经常搞这些还是得有个带写保护开关的U盘，这两天中招两次了，还好只是常见的隐藏文件夹替换成同名程序那种 ...

重新分区了应该全灭了吧
SSD硬盘盒带写保护开关的太贵了我买不起

作者: c2h6o 时间: 2024-5-16 14:30

ttt5t5t 发表于 2024-5-16 14:25
重新分区了应该全灭了吧
SSD硬盘盒带写保护开关的太贵了我买不起

MBR跟分区不一样，确实之前有MBR病毒，光分区不行，要重写MBR。

作者: continuing 时间: 2024-5-16 14:33
本帖最后由 continuing 于 2024-5-16 14:34 编辑

cmd能开其实就可以看进程
使用tasklist

不过没啥特殊需求直接重装最简单就是了
后面该配个360啥的还是配个360，上团队版广告都没有还能锁安装防止这帮人关了或者卸载了

作者: ttt5t5t 时间: 2024-5-16 14:44

c2h6o 发表于 2024-5-16 14:30
MBR跟分区不一样，确实之前有MBR病毒，光分区不行，要重写MBR。

GΡΤ分区类型应该不存在MBR了吧？
这我确实不太熟
理论上来讲UEFI引导已经杜绝了这种从boot时加载的病毒了？

作者: ttt5t5t 时间: 2024-5-16 14:46

continuing 发表于 2024-5-16 14:33
cmd能开其实就可以看进程
使用tasklist
不过没啥特殊需求直接重装最简单就是了

还有团队版这种好东西？我之前都是装火绒

作者: Lentrody 时间: 2024-5-16 15:00

ttt5t5t 发表于 2024-5-16 14:25
重新分区了应该全灭了吧
SSD硬盘盒带写保护开关的太贵了我买不起

还好吧，几十块。搞个128G的写保护U盘也够用了

作者: ttt5t5t 时间: 2024-5-16 15:02
本帖最后由 ttt5t5t 于 2024-5-16 15:21 编辑

Lentrody 发表于 2024-5-16 15:00
还好吧，几十块。搞个128G的写保护U盘也够用了

呜呜月关的钱！

作者: lpplite 时间: 2024-5-16 15:05
有这等事…可恨的病毒啊！

作者: c2h6o 时间: 2024-5-16 15:33

ttt5t5t 发表于 2024-5-16 14:44
GΡΤ分区类型应该不存在MBR了吧？
这我确实不太熟
理论上来讲UEFI引导已经杜绝了这种从boot时加载的病毒 ...

**引导当然不会读MBR，但保不准会有其他利用EFI引导的病毒，毕竟EFI引导有漏洞也不是第一次了。

作者: nn1122 时间: 2024-5-16 15:44
这种确实是重装比较有效率，但最好有灾备设备进行增量备份尤其是重要岗位如财务等，整机通过备份的还原后基本可以解决数据差异问题

作者: ttt5t5t 时间: 2024-5-16 16:22

nn1122 发表于 2024-5-16 15:44
这种确实是重装比较有效率，但最好有灾备设备进行增量备份尤其是重要岗位如财务等，整机通过备份的还原后基 ...

那个不归我管有专业的运维
我是只是个倒霉蛋

作者: 煎饼果子chh 时间: 2024-5-16 16:50
现在还有这种病毒？都是走流量赚钱了，哪个病毒还搞系统

作者: YsHaNg 时间: 2024-5-16 16:52

衰败灼烧发表于 2024-5-16 06:11
一般没特殊要求就直接重装
但是我们公司傻子太多重装20分钟配置能烦你20天 ...

这种人只给user权限 exe安装也别想全下发 pin码全禁用每天输13位密码去敢问就说iso27001

作者: Superdoll 时间: 2024-5-16 16:59
系统管理员不能直接靠这些东西, 一般会用sysinternals的一套类似东西来代替, 功能还更强.

作者: Superdoll 时间: 2024-5-16 17:06

ttt5t5t 发表于 2024-5-16 14:44
GΡΤ分区类型应该不存在MBR了吧？
这我确实不太熟
理论上来讲UEFI引导已经杜绝了这种从boot时加载的病毒 ...

UEFI引导同样也会有病毒. 除非你把secure boot打开理论上可以杜绝引导病毒.

作者: 俊华V网络 时间: 2024-5-16 17:25
同意楼上说是，重装20分钟，但是还要帮忙装一堆银行，打印机，那些会天天问你半个月，要不就叫你过去帮忙弄这个那个的！

作者: squll009 时间: 2024-5-16 19:39
这种情况我一般用写保护sd卡加读卡器做个pe，然后杀毒。

作者: continuing 时间: 2024-5-16 19:43

ttt5t5t 发表于 2024-5-16 14:46
还有团队版这种好东西？我之前都是装火绒

https://saas.360.cn/introduce/sdgl 360的
https://team.duba.net/index 金山的

作者: 猪头小队长 时间: 2024-5-16 19:44

衰败灼烧发表于 2024-5-16 14:11
一般没特殊要求就直接重装
但是我们公司傻子太多重装20分钟配置能烦你20天 ...

哈哈哈哈，一听就明白了

作者: Lentrody 时间: 2024-5-16 20:12

squll009 发表于 2024-5-16 19:39
这种情况我一般用写保护sd卡加读卡器做个pe，然后杀毒。

SD卡是软写保护，可以绕过，不过一般病毒也不会特意处理这种情况。

作者: alibabatadie 时间: 2024-5-17 09:54
一招鲜吃遍天啊，
公司搞个统一配置，所有一切搞好后直接做个镜像，岂不是爽歪歪

作者: trashgod 时间: 2024-5-17 17:44
上次遇到一个RPC服务被关掉的，无法启动。。。关联依赖服务也无法启动。网卡驱动失败，系统属性页面也看不了。。。折腾半天，尼玛重装吧。。。

作者: ttt5t5t 时间: 2024-5-27 10:07

alibabatadie 发表于 2024-5-17 09:54
一招鲜吃遍天啊，
公司搞个统一配置，所有一切搞好后直接做个镜像，岂不是爽歪歪 ...

我要有这个本事我应该当领导而不是苦哈哈的重装

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)