网站 › 『病毒救援区』 › 电脑被下了免杀远控

KYEICK 发表于 2020-12-27 15:01

电脑被下了免杀远控

前几天被骗下了一个软件，然后发现是远控360和火绒都没有报
然后我把目录下的C:\Program Files (x86)\Common Files\System Sll所有文件删除了，请问还需要做什么
谢谢{:1_893:}
链接https://wwi.lanzouj.com/ixKMXjrnala

Ailen 发表于 2020-12-29 11:55

共分析了30个进程
TaskSetter.exe （PID：2176）
“ C：\ Program Files \ Common Files \ System Sll \ TaskSetter.exe” / watch
sll.exe （PID：1336）
“ C：\ Program Files \ Common Files \ System Sll \ sll.exe”“ C：\ Program Files \ Common Files \ System Sll \ sll.exe”
explorer.exe （PID：1456）
C：\ Windows \ Explorer.EXE
_119033.exe （PID：2740）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ _119033.exe”
_119033.tmp （PID：2904）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ is-MEC5R.tmp \ _119033.tmp” /SL5="$40174,15688079,119296,C:\Users\vbccsb\AppData\Local\Temp\_119033.exe ”
HzzInstaller.exe （PID：3464）
“ C：\ Program Files \ Common Files \ System Sll \ HzzInstaller.exe” / setidrdb“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ _119033.exe”
hzzInit.exe （PID：3260）
“ C：\ Program Files \ Common Files \ System Sll \ hzzInit.exe” / kill
HzzInstaller.exe （PID：3656）
“ C：\ Program Files \ Common Files \ System Sll \ HzzInstaller.exe” / hidedir / dir“ C：\ Program Files \ Common Files \ System Sll \”
TaskSetter.exe （PID：3788）
“ C：\ Program Files \ Common Files \ System Sll \ TaskSetter.exe” /安装
cmd.exe （PID：4080）
“ C：\ Windows \ System32 \ cmd.exe” / c Schtasks / run / tn“系统错误”
schtasks.exe （PID：2364）
Schtasks / run / tn“系统故障”
sll.exe （PID：2516）
“ C：\ Program Files \ Common Files \ System Sll \ sll.exe”
comUpdate.exe （PID：3116）
“ C：\ Program Files \ Common Files \ System Sll \ comUpdate.exe” http://update.hgzvip.net:8000/sixemployee
hzzSrvInit.exe （PID：3124）
“ C：\ Program Files \ Common Files \ System Sll \ hzzSrvInit.exe” /安装
cmd.exe （PID：1384）
“ C：\ Windows \ System32 \ cmd.exe” / c SC描述“ sllService”“ hzz ctl检查模块”
sc.exe （PID：3180）
SC描述“ sllService”“ hzz ctl检查模块”
start.exe （PID：2764）
“ C：\ Program Files \ Common Files \ System Sll \ start.exe”隐藏
nvsc.exe （PID：2836）
“ C：\ Program Files \ Common Files \ System Sll \ x86 \ nvsc.exe”隐藏
start.exe （PID：3928）
“ C：\ Program Files \ Common Files \ System Sll \ fmtm \ start.exe”停止
fmtm.exe （PID：2212）
“ C：\ Program Files \ Common Files \ System Sll \ fmtm \ x86 \ fmtm.exe”停止
checkFirewall.exe （PID：2808）
“ C：\ Program Files \ Common Files \ System Sll \ checkFirewall.exe” C：\ Program Files \ Common Files \ System Files \ System Sll \ sll.exe
cmd.exe （PID：3540）
“ cmd.exe”
HzzInstaller.exe （PID：3160）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ is-3GSB1.tmp \ HzzInstaller.exe” / stopsll
HzzInstaller.exe （PID：3004）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ is-3GSB1.tmp \ HzzInstaller.exe” / checkparam / srcexe“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ _119033.exe” / pid 2904
HzzInstaller.exe （PID：3824）
“ C：\ Program Files \ Common Files \ System Sll \ HzzInstaller.exe” / judgesys
HzzInstaller.exe （PID：3964）
“ C：\ Program Files \ Common Files \ System Sll \ HzzInstaller.exe” / delinnoun
sllsrv.exe （PID：1764）
“ C：\ Program Files \ Common Files \ System Sll \ sllsrv.exe
ceshi.exe(进程ID: 2164)命令行:"c:\users\admini~1\appdata\local\temp\ceshi.exe"
ceshi.tmp(进程ID: 2332)命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-U0P6I.tmp\ceshi.tmp" /SL5="$30152,15688079,119296,c:\users\admini~1\appdata\local\temp\ceshi.exe"
HzzInstaller.exe(进程ID: 2360)命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-4IK5D.tmp\HzzInstaller.exe" /checkparam /srcexe "c:\users\admini~1\appdata\local\temp\ceshi.exe" /pid 2332

Ailen 发表于 2020-12-30 10:13

xiajuncan 发表于 2020-12-29 23:46
C：\ Program Files \ Common Files \ System Sll下的所有文件都删了

119033.exe （PID：2740）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ _119033.exe”
_119033.tmp （PID：2904）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ is-MEC5R.tmp \ _119033.tmp” /SL5="$40174,15688079,119296,C:\Users\vbccsb\AppData\Local\Temp\_119033.exe ”
HzzInstaller.exe （PID：3160）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ is-3GSB1.tmp \ HzzInstaller.exe” / stopsll
HzzInstaller.exe （PID：3004）
“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ is-3GSB1.tmp \ HzzInstaller.exe” / checkparam / srcexe“ C：\ Users \ vbccsb \ AppData \ Local \ Temp \ _119033.exe” / pid 2904
ceshi.exe(进程ID: 2164)命令行:"c:\users\admini~1\appdata\local\temp\ceshi.exe"
ceshi.tmp(进程ID: 2332)命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-U0P6I.tmp\ceshi.tmp" /SL5="$30152,15688079,119296,c:\users\admini~1\appdata\local\temp\ceshi.exe"
HzzInstaller.exe(进程ID: 2360)命令行:"C:\Users\ADMINI~1\AppData\Local\Temp\is-4IK5D.tmp\HzzInstaller.exe" /checkparam /srcexe "c:\users\admini~1\appdata\local\temp\ceshi.exe" /pid 2332

XXBK 发表于 2020-12-27 15:10

如果可以的话，还是重装系统放心一些。装个虚拟机，再有未知软件都放虚拟机运行

KYEICK 发表于 2020-12-27 15:12

XXBK 发表于 2020-12-27 15:10
如果可以的话，还是重装系统放心一些。装个虚拟机，再有未知软件都放虚拟机运行

不方便重装系统请问有解决方法吗

星河孤月 发表于 2020-12-27 15:12

关机等一个月再开始杀毒嘻嘻嘻

KYEICK 发表于 2020-12-27 15:13

星河孤月 发表于 2020-12-27 15:12
关机等一个月再开始杀毒嘻嘻嘻

为什么等一个月呢

sjgxhm 发表于 2020-12-27 15:21

xiajuncan 发表于 2020-12-27 15:13
为什么等一个月呢

新的病毒，杀软没有入库

pjext 发表于 2020-12-27 15:29

不知道毛豆能不能，我一直用的毛豆

那年夏天52 发表于 2020-12-27 15:32

xiajuncan 发表于 2020-12-27 15:12
不方便重装系统请问有解决方法吗

感觉基本无解，没有报毒的话，杀毒软件也很难删干净

azusys 发表于 2020-12-27 15:33

病毒文件上报各杀毒软件厂商~~~

那年夏天52 发表于 2020-12-27 15:34

星河孤月 发表于 2020-12-27 15:12
关机等一个月再开始杀毒嘻嘻嘻

假如这一个月病毒没有入库，一个月后，等待了一个月的钓鱼人收到一封咸鱼开机了的邮件，有楼主受的了

查看完整版本: 电脑被下了免杀远控