360fans_rPL5cI 发表于 2024-6-27 16:00

怀疑电脑中了某种后门病毒,并且是加了免杀的

同一时间段(3分钟左右),电脑里重要的几个系统级别常用的基本程序被替换(bfsvc.exe、HelpPane.exe、notepad.exe、regedit.exe、splwow64.exe),并且同时段内电脑凭空多出来个文件PrintDialog.dll(我根本不用打印机),以及一个来历不明的TaskFlowUI.dll(没有任何文件信息)。
还有一些典型的远控工具dll,比如
WindowsInternal.ComposableShell.Experiences.DragDrop.dll

、WindowsInternal.ComposableShell.Experiences.Switcher.dll。
而且创建了几个莫名其妙的文件夹。


这种替换系统Windows文件夹下文件的敏感操作,不可能没有日志记录,但很不幸,这家伙把所有这个时段的日志全部清空,这个时段的日志全部是空白(3分钟,而且这家伙清空了我的系统审核日志,三天之前的日志全部没了),可谓是掩耳盗铃。
附件是打包的样本。
替换文件时间是05/22(文件创建时间)。

如果这些文件是远控套件,我没猜错的话,替换这几个常用的系统级别程序,就是持久化用的吧,毕竟全是开机自启动的程序。

360fans_rPL5cI 发表于 2024-6-27 16:31

指正,因为文件是我从C盘复制出来的,所以应该是修改时间都是05/22

360fans_rPL5cI 发表于 2024-6-27 16:32

安全日志里一直记录有不明程序在持续添加WindowDefence排除项目 杀毒查不出
https://bbs.360.cn/forum.php?mod=viewthread&tid=16129674&page=1#pid119299398
(出处: 360社区)
我现在电脑里已经没有这个日志了,而且这个内容的相关日志全部被清空。

360fans_rPL5cI 发表于 2024-6-27 16:33

安全日志里一直记录有不明程序在持续添加WindowDefence排除项目 杀毒查不出
https://bbs.360.cn/forum.php?mod=viewthread&tid=16129674&page=1#pid119299398
(出处: 360社区)

leo0205 发表于 2024-6-27 19:30

本帖最后由 leo0205 于 2024-6-28 09:26 编辑

您好,您添加下我的QQ2298129324,我们帮您看下
页: [1]
查看完整版本: 怀疑电脑中了某种后门病毒,并且是加了免杀的