上周五,接到哥们消息,说是一台win server 2016的exe执行程序拷贝后会一刷新目录程序就没有了。

一听这个,第一反应是defender搞的鬼。因为就在前一天,办公室一位同事的win11机器,正常使用过程中,突然无法打开邮件的附件压缩文件,甚至连本地的压缩文件也无法打开。换用压缩软件bandzip之后还是不行。最后,关闭了defender后才可以。而且edge浏览器也自动一个defender smarter的东西,也需要一并关掉。

话说回来,远程登录哥们的机器,查看目标win server 2016,通过各种手段关闭,其实最后发现在“gpedit.msc”组策略中,可以一次性彻底关闭defender,但是还是不行。

无奈,只能怀疑是中毒了。此时群里另外一个兄弟发来一份排查指南。简单翻看后,何不试试“netstat -an”查看网络信息呢。没想到,查到了3条TCP连接信息,其中两条是和微软相关的,另外一条则是恶意IP地址。事情发展到这个地方,就基本怀疑是中毒了。
2024-07-15T01:37:40.png
拿出备份,开始还原。备份策略是一个月,第一天为全量,其余3个副本为增量。下了班驱车前往现场。吃过饭后差不多还原完了。通过检查,6天前的版本依旧有该问题。于是,再次还原27天前的版本。到了夜晚,没想到问题依旧。

周六下午,闲着也是闲着,去现场再看看。本次可以尝试使用usbos进入pe环境,然后安装杀毒软件进行全盘查杀。大概到了晚上6点还是没有啥进展。

周六晚上。想着哥们之前的提议--“安全模式”。于是,回到家,远程哥们电脑,开始了安全模式尝试。没想到安全模式下,怎么拷贝exe文件都是可以的,没有之前遇到的问题。这个现象,扭转了排查方向-“可能并不是中毒”,而是开机后有了其他软件。与此同时,在安全模式下,通过挂载带有火绒杀毒的iso文件实现了杀毒软件的安装。再次进入正常模式,可以正常运行火绒杀毒,查看开机服务以及开机启动,没想到还真找到了一个。

2024-07-15T01:01:33.png

这个文件的名字叫“FileSystemListener”,主要工作原理是通过监控windows文件变化,对exe等后缀文件进行删除或者改名处理。但是,奇怪的是,这个软件在互联网上并没有找到直接信息。

PathList=C:\;D:\;E:
WatchType=|Renamed|Changed|
NotifyUrl=
WatcherExts=|.exe|.cmd|.bat|.msi|.com|.vbs|
Delete=yes
DeleteExts=|.exe|.cmd|.bat|.msi|.com|.vbs|
Charset=utf-8

知道了问题本质,只要关闭该服务就好了。

最后修改:2024 年 07 月 15 日
如果觉得我的文章对你有用,请随意赞赏