【杂记】Windows首页挟持病毒查杀过程记录

一、背景

帮人排查电脑问题，顺便简单记录下排查过程，因为是远程排查且比较紧急，排查过程忘了截图，纯文字记录下过程及结果。

二、操作系统

Win7 x64

三、问题现象

explorer资源管理器不断报错重启（主要反馈修复的问题）
打开IE\CHROME浏览器被挟持到指定主页（恶意站点信息：*.660055.com）

四、排查步骤

本次主要使用了【火绒剑】的系统行为监控及钩子扫描模块进行排查

首先，通过【火绒剑】行为监控，监控Chrome启动行为，发现启动时，被携带了恶意站点的启动参数
而启动chrome的应用是explorer.exe

那么为什么explorer启动chrome时会恶意带上这参数呢？

猜测：
结合explorer不断重启的现象猜测，比较大的可能就是explorer给挟持了，而这挟持应用又有BUG导致explorer不断地报错重启。
验证：
继续通过【火绒剑】进程模块-钩子分析，发现explorer进程加载的模块多了几个yyhp_w.dll的加载
并预期地挟持了CreateProcess相关函数，遂定位到这个模块位置，将相关文件进行了强制删除

删除后，重启explorer.exe，系统恢复正常。

最后，重新用火绒进行了病毒查杀，在原本杀不出任何病毒的情况下，这次竟然杀出了2个病毒：

一个是下载者
一个是驱动相关病毒

病毒查杀结果截图：

清理后，系统重启后仍正常。
至此，查杀过程结束。

最后这里其实还有一个疑问：
为什么原本杀不出任何病毒的情况下，清理掉explorer挟持模块文件后，再次查杀就杀出了2个病毒？

猜测：
前面的yyhp_w恶意模块对杀毒软件起到了干扰作用，导致扫描结果有误？
已提交病毒样本，待火绒工程师进行进一步的分析。

五、总结

遇到这类病毒问题首先还是先用360、火绒、火绒顽固木马专杀工具查杀一遍，能直接解决问题就最好。如果通过杀毒软件仍不能解决问题，非专业人员或者不想折腾的，也可以考虑直接重装系统解决。但这次时间比较紧，且查杀过后都仍无法解决问题，前两者无法扫描到任何病毒，最后的专杀工具能杀到两个病毒，但查杀后也仍无法解决问题，重启后也再无法查杀到新的病毒。然后抱着玩下的心态，简单重温了下相关知识。