一、背景

幫人排查電腦問題，順便簡單記錄下排查過程，因為是遠程排查且比較緊急，排查過程忘了截圖，純文字記錄下過程及結果。

二、操作系統

Win7 x64

三、問題現象

• explorer資源管理器不斷報錯重啟（主要反饋修復的問題）
• 打開IE\CHROME瀏覽器被挾持到指定主頁（惡意站點信息：*.660055.com）

四、排查步驟

本次主要使用了 【火絨劍】的系統行為監控及鉤子掃描模塊進行排查

首先，通過【火絨劍】行為監控，監控Chrome啟動行為，發現啟動時，被攜帶了惡意站點的啟動參數
而啟動chrome的應用是explorer.exe

那么為什么explorer啟動chrome時會惡意帶上這參數呢？

猜測：
結合explorer不斷重啟的現象猜測，比較大的可能就是explorer給挾持了，而這挾持應用又有BUG導致explorer不斷地報錯重啟。
驗證：
繼續通過【火絨劍】進程模塊-鉤子分析，發現explorer進程加載的模塊多了幾個yyhp_w.dll的加載
并預期地挾持了CreateProcess相關函數，遂定位到這個模塊位置，將相關文件進行了強制刪除

刪除后，重啟explorer.exe，系統恢復正常。

最后，重新用火絨進行了病毒查殺，在原本殺不出任何病毒的情況下，這次竟然殺出了2個病毒：

• 一個是下載者
• 一個是驅動相關病毒

病毒查殺結果截圖：

清理后，系統重啟后仍正常。
至此，查殺過程結束。

最后這里其實還有一個疑問：
為什么 原本殺不出任何病毒的情況下，清理掉explorer挾持模塊文件后，再次查殺就殺出了2個病毒？

猜測：
前面的yyhp_w惡意模塊對殺毒軟件起到了干擾作用，導致掃描結果有誤？
已提交病毒樣本，待火絨工程師進行進一步的分析。

五、總結

遇到這類病毒問題首先還是先用360、火絨、火絨頑固木馬專殺工具查殺一遍，能直接解決問題就最好。如果通過殺毒軟件仍不能解決問題，非專業人員 或者 不想折騰的，也可以考慮直接重裝系統解決。但這次時間比較緊，且 查殺過后都仍無法解決問題，前兩者無法掃描到任何病毒，最后的專殺工具能殺到兩個病毒，但查殺后也仍無法解決問題，重啟后也再無法查殺到新的病毒。然后抱著玩下的心態，簡單重溫了下相關知識。

總結

以上是生活随笔為你收集整理的【杂记】Windows首页挟持病毒查杀过程记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。