360fans_Ed87Y3 发表于 2026-7-8 21:12

clickfix病毒



我在2026年7月4号访问了bincheck.io这个网站,这个网站弹出cloudflare人机验证,让我在本地电脑的命令行执行了一个命令,我也没有在意。之后每间隔十几分钟电脑就会快速弹出powershell,然后立刻关闭。


我通过Procmon64这个程序查询出执行的命令的程序是:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe。
具体执行的命令是:"powershell.exe" -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\ProgramData\Perceiveness\californiumality.ps1和cmd.exe /c bcdedit /set {bootmgr} flightsigning on以及\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1。


并且在taskschd.msc任务计划程序里面有一个开机自动运行的任务叫做enginehost_lts。并且programdata目录里面有一个叫做“DLLConfig_v3_win32_test”的文件夹,文件夹里面有一个名字叫:Meta-Grid.exe的文件和一堆dll文件,奇怪的是这个Meta-Grid.exe的图标是一个压缩软件的图标,并且这个Meta-Grid.exe的数字签名是:Guang Dong Ji Tong Zhi Neng Ke Ji You Xian Gong Si。


在注册表里面查询不到任何与“enginehost_lts”,“Meta-Grid.exe”的内容。


具体的病毒文件californiumality.ps1,火绒,360,卡巴斯基都扫描没有问题。并且我的浏览器无法访问卡巴斯基,hitman pro和Malwarebytes的官网,显示“您被禁止访问互联网,防火墙或防病毒软件可能已阻止您连接到网络。请试试以下办法:检查网络连接;检查防火墙和防病毒配置;运行 Windows 网络诊断;ERR_NETWORK_ACCESS_DENIED ”。我之后把meta-grid删除了,但是电脑依然会弹出命令行界面。使用火绒,360,卡巴斯基和defender都扫描不到问题。如果使用Microsoft defender脱机版扫描,那么电脑在重启后会直接蓝屏报错0xc000021a

最后无奈重装系统

请各位大佬分析一下

瞿小凯 发表于 2026-7-8 23:12

恶意文件和行为描述在这里提交下,我们分析处理,谢谢
https://open.soft.360.cn/report.php
页: [1]
查看完整版本: clickfix病毒