此木马病毒火绒无法查杀

ADFcyh · 发表于 2025-12-14 14:01

不知道这个病毒是怎么注入到powershell进程里的，这几天刚发现这个问题，但是试了好几次都无法查杀这个病毒

病毒报告

文件名乱码无法删除

不知道如何移除这个病毒，请各位大佬帮帮我

wowocock · 发表于 2025-12-19 14:39

木马计划任务的文件已经被删掉了，但计划任务本身因为被木马清除了权限导致调用系统RPC去删除服务的时候失败了，你找到c:\windows\system32\tasks目录下的这个文件，把everyone用户添加上去后，再用火绒扫描即可。或者用PCHUNTER等工具，手动删除计划任务。不删也无所谓，因为木马文件没了，只剩个空的任务项。

magiclyan · 发表于 2025-12-14 22:08

请按版规提供下被感染的系统信息与病毒样本
如果可能请尽量提供最近操作记录。尤其是安装、运行过什么

能感染入侵Powershell的属实少见

@火绒安全有结果吗

ADFcyh · 发表于 2025-12-14 22:15

win11家庭版系统病毒样本我找不到
最近可能运行过一些软件注入器什么的
知道的时候已经被感染了
不过我刚才已经解决了，贴吧有大佬通过powershell命令强制删除了
在删除这个持久化任务时还索求我的账号密码，不知是否已经上传到黑客手里

magiclyan · 发表于 2025-12-14 22:21

ADFcyh 发表于 2025-12-14 22:15
win11家庭版系统病毒样本我找不到
最近可能运行过一些软件注入器什么的
知道的时候已经被感染了

那就好。保险起见最好（安全模式断网环境或者PE下）修改一遍敏感信息

另外Powershell命令记得吗，拜读下喵～

conaneow · 发表于 2025-12-14 22:25

这个以前从没见过，关注了看看

99977lcz · 发表于 2025-12-15 01:44

那我得好好看看我电脑有没有

zhouxinyi · 发表于 2025-12-15 01:48

看起来是通过计划任务运行的东西，把计划任务里的东西筛选一下吧

地球守护者 · 发表于 2025-12-15 06:12

magiclyan 发表于 2025-12-14 22:08
请按版规提供下被感染的系统信息与病毒样本
如果可能请尽量提供最近操作记录。尤其是安装、运行过什么

火绒没有获得报告，怎么添加病毒信息？如果火绒，获得报告内容，肯定更新火绒病毒库，除此之外（成语），也是发送病毒分析内容

地球守护者 · 发表于 2025-12-15 06:20

ADFcyh 发表于 2025-12-14 22:15
win11家庭版系统病毒样本我找不到
最近可能运行过一些软件注入器什么的
知道的时候已经被感染了

建议升级成为Windows 11 Professional，这个样子，对此比较Windows 11 Home，安全很多，至少于是Windows 11 Enterprise（企业）、Windows 11 Education（教育）、Windows 11 Professional Workstation（专业工作站）以及其它Windows 11版本，不是专业或不是需要，一般都是没有需要获得

w2010d · 发表于 2025-12-15 08:33

看着像一个脚本，火绒报的是计划任务启动恶意脚本的风险

帐号		自动登录	找回密码
密码			注册[Register]