我的一个孩子正在看一些变声软件 - 我认为是 AV Voice Changer - 他说他开始安装它但后来决定不安装它。
但是,我现在认为他确实安装了它,但尝试手动卸载,而不是使用程序卸载选项或添加/删除程序。
msa.exe无论如何,它在“C:\Windows”中留下了几个可执行文件,ygh.exe并ygg.exe在“C:\Documents and Settings[user]\Local Settings\Temp”中留下了几个可执行文件。
ygh.exe被我的防火墙拦截了,但当我检查日志时,我发现它msa.exe被允许出去。它似乎正在连接到广告网站。两个可执行文件都作为进程运行。
不管怎样,我屏蔽了这两个程序,然后在网上查看。我找不到任何信息,ygh.exe但msa.exe在许多网站上都被认定为威胁。我终止了这些进程,然后从各自的位置删除了可执行文件。
注册表搜索未找到msa.exe,但ygh.exe在 中出现\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。不用说,它已被删除。
那么 - 我还需要做什么来清理电脑吗?我还需要重新教育孩子们不要安装他们在随机网站上找到的软件,并为他们设置一个非管理员帐户。
请不要说“安装 Linux”或“购买 MAC”;)
更新
看来我的操作系统已经完全被攻陷了。我运行了 Malwarebytes,它弹出了一些需要删除的文件。我删除了一个我确定的文件,然后不得不重新启动。重新启动时,我得到了一个 BSOD - “非分页区域出现页面错误”。
无论启动模式如何(“安全模式”、“正常模式”、“最后一次正确的配置”),都会发生这种情况,因此在尝试使用 Windows CD 中的修复模式失败后(它需要管理员密码,我以为我知道,但我尝试的所有方法都被拒绝了)我决定必须进行完全重新安装。
答案1
我会给恶意软件字节运行 - 它可能是目前最好的恶意软件扫描程序,并且应该可以根除大多数恶意软件。
答案2
答案3
所以看起来我还需要做其他事情——那就是检查网络连接。
我发现我无法malwarebytes.org,所以一开始我怀疑软件更改/设置了代理,但事实并非如此。
接下来要检查的是网络连接上的 DNS 设置。结果发现它们已被更改为通过未知的 DNS 服务器。将其重置为“自动获取 DNS 服务器地址”即可解决问题。
因此,考虑到这些不可靠的可执行文件中的一个或另一个篡改了网络设置,我可以肯定地说,对于它们是否是恶意软件,答案是肯定的。