火绒安全软件

标题: 每次开机都能查出病毒，但是重启后，病毒自动出现 [打印本页]

作者: gaozheng135 时间: 2022-10-16 12:10
标题: 每次开机都能查出病毒，但是重启后，病毒自动出现
这是日志：【1】2022-10-16 11:38:13,系统防护,系统加固,DiCengJiaSu64.dll触犯注册表防护规则, 已阻止
防护项目：系统服务扩展项
操作类型：修改
数据内容：C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DiCengJiaSu\Parameters\ServiceDll
操作结果：已阻止

进程ID：3600
操作进程：C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll
操作进程命令行："C:\Windows\System32\rundll32.exe" "C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll" install
操作进程校验和：DD399AE46303343F9F0DA189AEE11C67BD868222
父进程ID：14248
父进程：C:\Windows\SysWOW64\rundll32.exe
父进程命令行："C:\Windows\System32\rundll32.exe" "C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll" install
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2022-10-16 11:33:32,系统防护,软件安装拦截,tkbor.exe尝试安装软件，已阻止

文件路径：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\52haoya220602_u24492515_sv1_162_25.exe
安装软件：52haoya
操作结果：已阻止

进程ID：3912
操作进程：C:\Users\44318\AppData\Local\TkPdfViewer\tkbor.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2022-10-16 11:30:32,病毒防护,文件实时监控,发现病毒Rogue/CowLock.c, 已处理

病毒名称：Rogue/CowLock.c
病毒ID：BAD00F6396B64ECB
病毒路径：C:\Program Files (x86)\XiaoFeiWords\is-GQPSV.tmp
操作类型：修改
操作结果：已处理

进程ID：7644
操作进程：C:\Users\44318\AppData\Local\Temp\is-2VO41.tmp\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.tmp
操作进程命令行："C:\Users\44318\AppData\Local\Temp\is-2VO41.tmp\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.tmp" /SL5="$70480,1633960,962560,C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.exe"
父进程：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2022-10-16 11:28:27,系统防护,软件安装拦截,tkbor.exe尝试安装软件，已阻止

文件路径：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\inst_buychannel_13.exe
安装软件：鲁大师
操作结果：已阻止

进程ID：13208
操作进程：C:\Users\44318\AppData\Local\TkPdfViewer\tkbor.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2022-10-16 11:27:36,网络防护,恶意网址拦截,System尝试访问【s5_down.listw.top/】，已阻止

风险分类：木马盗号
访问网址：s5_down.listw.top/
操作结果：已阻止

进程ID：4
操作进程：System
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2022-10-16 11:27:35,网络防护,恶意网址拦截,System尝试访问【s5_rep.listw.top/】，已阻止

风险分类：木马盗号
访问网址：s5_rep.listw.top/
操作结果：已阻止

进程ID：4
操作进程：System
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2022-10-16 11:26:26,病毒防护,文件实时监控,发现病毒Rogue/CowLock.c, 已处理

病毒名称：Rogue/CowLock.c
病毒ID：BAD00F6396B64ECB
病毒路径：C:\Program Files (x86)\XiaoFeiWords\is-73074.tmp
操作类型：修改
操作结果：已处理

进程ID：7308
操作进程：C:\Users\44318\AppData\Local\Temp\is-UN499.tmp\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.tmp
操作进程命令行："C:\Users\44318\AppData\Local\Temp\is-UN499.tmp\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.tmp" /SL5="$306B8,1633960,962560,C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.exe" /SPAWNWND=$207CA /NOTIFYWND=$406CE
父进程：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2022-10-16 11:22:06,系统防护,系统加固,DiCengJiaSu64.dll触犯注册表防护规则, 已阻止

防护项目：系统服务扩展项
操作类型：修改
数据内容：C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll
目标注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DiCengJiaSu\Parameters\ServiceDll
操作结果：已阻止

进程ID：13348
操作进程：C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll
操作进程命令行："C:\Windows\System32\rundll32.exe" "C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll" install
操作进程校验和：DD399AE46303343F9F0DA189AEE11C67BD868222
父进程ID：13952
父进程：C:\Windows\SysWOW64\rundll32.exe
父进程命令行："C:\Windows\System32\rundll32.exe" "C:\Users\44318\AppData\Roaming\Avatder\DiCengJiaSu64.dll" install
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2022-10-16 11:17:21,系统防护,软件安装拦截,tkbor.exe尝试安装软件，已阻止

文件路径：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\52haoya220602_u24492515_sv1_162_25.exe
安装软件：52haoya
操作结果：已阻止

进程ID：11764
操作进程：C:\Users\44318\AppData\Local\TkPdfViewer\tkbor.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2022-10-16 11:14:24,病毒防护,文件实时监控,发现病毒Rogue/CowLock.c, 已处理

病毒名称：Rogue/CowLock.c
病毒ID：BAD00F6396B64ECB
病毒路径：C:\Program Files (x86)\XiaoFeiWords\is-2IJRU.tmp
操作类型：修改
操作结果：已处理

进程ID：11544
操作进程：C:\Users\44318\AppData\Local\Temp\is-LAL8P.tmp\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.tmp
操作进程命令行："C:\Users\44318\AppData\Local\Temp\is-LAL8P.tmp\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.tmp" /SL5="$503F8,1633960,962560,C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.exe"
父进程：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\XiaoFeiWordsSetup_t_v24_355_Pg1oEKgYofTO0_kzvpa.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2022-10-16 11:12:15,系统防护,软件安装拦截,tkbor.exe尝试安装软件，已阻止

文件路径：C:\Users\44318\AppData\Local\Temp\~cf25ad170e392996381c6f5ae87148c2\inst_buychannel_13.exe
安装软件：鲁大师
操作结果：已阻止

进程ID：10152
操作进程：C:\Users\44318\AppData\Local\TkPdfViewer\tkbor.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【12】2022-10-16 11:11:32,网络防护,恶意网址拦截,System尝试访问【s5_down.listw.top/】，已阻止

风险分类：木马盗号
访问网址：s5_down.listw.top/
操作结果：已阻止
麻烦大神给分析一下，谢谢！

作者: 火绒运营专员 时间: 2022-10-16 12:13
您好，麻烦您清空信任区全盘+专杀扫描处理然后重启看下是否正常了呢？

作者: gaozheng135 时间: 2022-10-16 19:07

火绒运营专员发表于 2022-10-16 12:13
您好，麻烦您清空信任区全盘+专杀扫描处理然后重启看下是否正常了呢？

信任区没有文件，用哪个专杀工具，请指点，谢谢！

作者: gaozheng135 时间: 2022-10-16 20:03

kaspersky用户发表于 2022-10-16 16:56
建议进入安全模式下用专杀查杀病毒哦，如果还不行的话，可以试试360，他的急救箱很好使 ...

谢谢，用360杀毒清除了！

作者: www. 时间: 2022-10-17 06:34
被推装下了风行视频加速器、XiaoFeiWords等等的一系列的Adware流氓软件

作者: 火绒运营专员 时间: 2022-10-17 09:17
经确认目前您的问题已解决，感谢您的反馈

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)