汗流浃背了，病毒把几乎所有系统进程都禁用了

ttt5t5t

一台电脑无法上网，让我过去检查下
IP配置没问题，但是ping不到网关，刚开始怀疑网线挂了，换了条线还是不行
查了同交换机上的设备有网，打算下个wireshark抓个包看看啥问题
插U盘前多了个心眼，怕U盘中毒，准备看下有没有可疑进程，结果好嘛
右键任务栏-任务管理器灰色的
Ctrl-Alt-Del-没有任务管理器
运行-taskmgr-管理员禁用任务管理器
运行-gpedit.msc-管理员禁用组策略
运行-regedit-管理员禁用注册表
我一看来着不是善茬，直接关机重装系统了
杀毒？杀个屁，全盘格式化走你！
装完还是把原IP配上，网是好的，看来上不了网也是病毒的锅
总结：万般运维，此乃至上妙法：重装

衰败灼烧

一般没特殊要求就直接重装
但是我们公司傻子太多 重装20分钟 配置能烦你20天

nekotheo

像以前维金喜欢干的事

wangluowl

衰败灼烧 发表于 2024-5-16 14:11
一般没特殊要求就直接重装
但是我们公司傻子太多 重装20分钟 配置能烦你20天 ...

握手！

Lentrody

经常搞这些还是得有个带写保护开关的U盘，这两天中招两次了，还好只是常见的隐藏文件夹替换成同名程序那种。
另外格盘之外最好重建下MBR。

ttt5t5t

Lentrody 发表于 2024-5-16 14:19
经常搞这些还是得有个带写保护开关的U盘，这两天中招两次了，还好只是常见的隐藏文件夹替换成同名程序那种 ...

重新分区了 应该全灭了吧
SSD硬盘盒带写保护开关的太贵了 我买不起

c2h6o

ttt5t5t 发表于 2024-5-16 14:25
重新分区了 应该全灭了吧
SSD硬盘盒带写保护开关的太贵了 我买不起

MBR跟分区不一样，确实之前有MBR病毒，光分区不行，要重写MBR。

continuing

cmd能开其实就可以看进程
使用tasklist
不过没啥特殊需求直接重装最简单就是了
后面该配个360啥的还是配个360，上团队版广告都没有还能锁安装防止这帮人关了或者卸载了

ttt5t5t

c2h6o 发表于 2024-5-16 14:30
MBR跟分区不一样，确实之前有MBR病毒，光分区不行，要重写MBR。

GΡΤ分区类型应该不存在MBR了吧？
这我确实不太熟
理论上来讲UEFI引导已经杜绝了这种从boot时加载的病毒了？

ttt5t5t

continuing 发表于 2024-5-16 14:33
cmd能开其实就可以看进程
使用tasklist
不过没啥特殊需求直接重装最简单就是了

还有团队版这种好东西？我之前都是装火绒

Lentrody

ttt5t5t 发表于 2024-5-16 14:25
重新分区了 应该全灭了吧
SSD硬盘盒带写保护开关的太贵了 我买不起

还好吧，几十块。搞个128G的写保护U盘也够用了

ttt5t5t

Lentrody 发表于 2024-5-16 15:00
还好吧，几十块。搞个128G的写保护U盘也够用了

呜呜 月关的钱！

lpplite

有这等事…可恨的病毒啊！

c2h6o

ttt5t5t 发表于 2024-5-16 14:44
GΡΤ分区类型应该不存在MBR了吧？
这我确实不太熟
理论上来讲UEFI引导已经杜绝了这种从boot时加载的病毒 ...

**引导当然不会读MBR，但保不准会有其他利用EFI引导的病毒，毕竟EFI引导有漏洞也不是第一次了。

nn1122

这种确实是重装比较有效率，但最好有灾备设备进行增量备份尤其是重要岗位如财务等，整机通过备份的还原后基本可以解决数据差异问题

ttt5t5t

nn1122 发表于 2024-5-16 15:44
这种确实是重装比较有效率，但最好有灾备设备进行增量备份尤其是重要岗位如财务等，整机通过备份的还原后基 ...

那个不归我管 有专业的运维
我是只是个倒霉蛋

煎饼果子chh

现在还有这种病毒？都是走流量赚钱了，哪个病毒还搞系统

YsHaNg

衰败灼烧 发表于 2024-5-16 06:11
一般没特殊要求就直接重装
但是我们公司傻子太多 重装20分钟 配置能烦你20天 ...

这种人只给user权限 exe安装也别想 全下发 pin码全禁用 每天输13位密码去 敢问就说iso27001

Superdoll

系统管理员不能直接靠这些东西, 一般会用sysinternals的一套类似东西来代替, 功能还更强.

Superdoll

ttt5t5t 发表于 2024-5-16 14:44
GΡΤ分区类型应该不存在MBR了吧？
这我确实不太熟
理论上来讲UEFI引导已经杜绝了这种从boot时加载的病毒 ...

UEFI引导同样也会有病毒. 除非你把secure boot打开理论上可以杜绝引导病毒.

俊华V网络

同意楼上说是，重装20分钟，但是还要帮忙装一堆银行，打印机，那些会天天问你半个月，要不就叫你过去帮忙弄这个那个的！

squll009

这种情况我一般用写保护sd卡加读卡器做个pe，然后杀毒。

continuing

ttt5t5t 发表于 2024-5-16 14:46
还有团队版这种好东西？我之前都是装火绒

https://saas.360.cn/introduce/sdgl 360的
https://team.duba.net/index 金山的

猪头小队长

衰败灼烧 发表于 2024-5-16 14:11
一般没特殊要求就直接重装
但是我们公司傻子太多 重装20分钟 配置能烦你20天 ...

哈哈哈哈，一听就明白了

Lentrody

squll009 发表于 2024-5-16 19:39
这种情况我一般用写保护sd卡加读卡器做个pe，然后杀毒。

SD卡是软写保护，可以绕过，不过一般病毒也不会特意处理这种情况。

alibabatadie

一招鲜吃遍天啊，
公司搞个统一配置，所有一切搞好后直接做个镜像，岂不是爽歪歪

trashgod

上次遇到一个RPC服务被关掉的，无法启动。。。关联依赖服务也无法启动。网卡驱动失败，系统属性页面也看不了。。。折腾半天，尼玛重装吧。。。

ttt5t5t

alibabatadie 发表于 2024-5-17 09:54
一招鲜吃遍天啊，
公司搞个统一配置，所有一切搞好后直接做个镜像，岂不是爽歪歪 ...

我要有这个本事 我应该当领导 而不是苦哈哈的重装