ni
2025-07-19T18:09:49+00:00
在上传文件的时候,发现每个盘的根目录出现了同样名字同样大小的5个文件,非隐藏文件,进硬盘却看不到它们,只能在有打开文件功能的软件里看到
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQvqcl-7zjcKxT3cSsg-4q.jpg[/img]
从上传文件的地方单独删除后恢复就出现在了盘里,再度删除就提示没有权限,安全选项卡显示请求的安全信息不可用或无法显示
重启后可以正常删除,然后原先的5个文件消失,变成了新的5个别的名字,随机后缀的东西
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQs9rl-6hzhKeT1kShp-3w.jpg[/img]
这个是我第一次发现的时候,但这个时间我应该没有重启电脑
查看文件属性是几个月前的,但是这个问题是在今天凌晨突然出现的,之前完全没有出现过这种情况,又或者是我一直没注意?想问下这是什么情况
下个process monitor 删除文件然后看是哪个进程创建的
Reply to [pid=833149012,44681413,1]Reply[/pid] Post by [uid=1698382]死寂天空[/uid] (2025-07-24 03:30)
运行后发现好像只能监测软件打开后的,重启了一下看文件生成时间是就在开机进桌面的时候,怎么也来不及开软件了,监测里搜索文件名只能看到我用QQ查看这个文件的记录
开机就会重新生成,还是先查一下启动项目吧。注册表里找一找。盲猜一手腾讯反作弊?
每个盘都有,还在根目录。
你这情况可能u盘(也可能包括硬盘)里的目录也已经是隐藏状态了,并且都是文件夹图标的exe,正常软件的可能性很小。
你这情况估计杀毒已经没用了,杀软应该也已经被攻破,你就老老实实的重装系统吧。
看到文件里有数据库、ppt、pdf,估计都是迷惑用的,进pe把每个根目录的这几个文件先删掉,系统盘直接清场。
Reply to [pid=833149714,44681413,1]Reply[/pid] Post by [uid=63193297]小叶子haruka[/uid] (2025-07-24 04:19)
在文件不让删除的情况下 可以打开资源监视器(任务管理器-性能页有入口) 在CPU页里的“关联的句柄”里搜文件的路径 比如D:\ 最好不要带文件名否则不一定能搜到 然后就能找到占用这个文件的进程了
建议装个processexplorer/processhacker之类的专业工具 功能比系统自带的这些强得多 上手也简单
Reply to [pid=833165625,44681413,1]Reply[/pid] Post by [uid=1698382]死寂天空[/uid] (2025-07-24 09:29)
安装了process explorer,搜索对应盘符的句柄都没有占用文件的进程
现在发现从文件浏览功能里删除后过个一段时间又会生成新的一批
单独删除到回收站再恢复并删除,显示的是这个
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQkn5-8u61KkT1kSd8-7w.jpg[/img]
但是我没有这个叫 系统管理员 的超管账号,我一共就只有一个administrator的账号
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQkn5-3zd2KkT1kScp-i6.jpg[/img]
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQkn5-l6d6KnT1kScr-i6.jpg[/img]
安全属性和准备关了属性页点击确认后如图
Reply to [pid=833164675,44681413,1]Reply[/pid] Post by [uid=63346505]Zzzhao1[/uid] (2025-07-24 09:23)
开了显示隐藏和显示受保护的系统文件,显示后缀名,没发现那种病毒建立的exe文件和隐藏原本的文件夹,都是正常的
Reply to [pid=833190565,44681413,1]Reply[/pid] Post by [uid=66734741]曙夜君[/uid] (2025-07-24 11:52)
检查了一下火绒的勒索病毒诱捕功能没有开启,不过我现在打开了()还真不知道这个功能
[quote][pid=833190291,44681413,1]Reply[/pid] Post by [uid=63193297]小叶子haruka[/uid] (2025-07-24 11:50):
安装了process explorer,搜索对应盘符的句柄都没有占用文件的进程
现在发现从文件浏览功能里删除后过个一段时间又会生成新的一批
单独删除到回收站再恢复并删除,显示的是这个
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQkn5-8u61KkT1kSd8-7w.jpg[/img]
但是我没有这个叫 系统管理员 的超管账号,我一共就只有一个administrator的账号
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQkn5-3zd2KkT1kScp-i6.jpg[/img]
[/quote]肯定不是直接关联的进程,
你有火绒进火绒剑,在进城里找,看有没有什么奇怪的进程,根目录生成的只是结果,应该不会有监视的关联。
你这种必然是有长住内存的东西不停的检测和生成这些文件,直接查这些文件应该找不到上级。
当有常驻内存东西的时候,系统上的显示隐藏文件、显示系统文件什么的很有可能已经不是我们需要的那个显示文件了,很有可能已经被劫持,毕竟你都说了在“打开文件功能的软件”里才能看见。
火绒剑现在好像叫什么分析工具
已经落地生根了,只有格盘能彻底解决,自己保存好资料吧
Reply to [pid=833204980,44681413,1]Reply[/pid] Post by [uid=63346505]Zzzhao1[/uid] (2025-07-24 13:32)
[img]https://img.nga.178.com/attachments/mon_202507/24/9aQkn5-a9qeK17T3cSsg-aw.jpg[/img]
关闭了大多数正在用的软件之后截的图,没看到有什么一眼名字奇怪的
如果winnit底下也没什么的话,
不是进程就是服务,更坑的是驱动。
在火绒剑里有个hips功能,点开始以后,你有一布操作他就会记录一下。
你可以先点开资源管理器,然后点开始监控,紧接着手动删除某盘符下的5个文件,然后等,等他自己重建,看到底是谁在建。
当然也可以看日志,如果你看得懂的话
[quote][pid=833215328,44681413,1]Reply[/pid] Post by [uid=63346505]Zzzhao1[/uid] (2025-07-24 14:48):
如果winnit底下也没什么的话,
不是进程就是服务,更坑的是驱动。
在火绒剑里有个hips功能,点开始以后,你有一布操作他就会记录一下。
你可以先点开资源管理器,然后点开始监控,紧接着手动删除某盘符下的5个文件,然后等,等他自己重建,看到底是谁在建。
当然也可以看日志,如果你看得懂的话[/quote]开启了hips自定义规则选择了自动阻止F盘创建,读取,修改文件的规则,然后删除已有的5个文件,15:13检查火绒粉碎文件浏览器发现15:07重新创建了5个新的,但是安全日志里只有阻拦qq存聊天记录的日志,15:07分没有事件,之后用qq的文件浏览器删除所有文件
15:21发现新增5个文件,日志还是没有记录,用火绒粉碎后添加了禁止删除的规则,然后试了一下普通删除会被阻止并记录进日志(但是名字对不上)但火绒粉碎不会被自己拦截也不记录进安全日志[s:ac:汗]这不会真是火绒的东西吧
这个我在很久前遇到过
就是某个杀软自带的防勒索病毒功能,大概就是会在根目录生成几个文档类文件,用来监测勒索木马的
无视就行了,平常应该是隐藏起来的
不记得是360还是火绒干的这事了
反正不是坏东西,我有印象。
[quote][pid=833224988,44681413,1]Reply[/pid] Post by [uid=63193297]小叶子haruka[/uid] (2025-07-24 15:49):
开启了hips自定义规则选择了自动阻止F盘创建,读取,修改文件的规则,然后删除已有的5个文件,15:13检查火绒粉碎文件浏览器发现15:07重新创建了5个新的,但是安全日志里只有......[/quote]你试着卸载火绒看看
等会再装回去便是了