我捕获了一个木马,当删除其自动启动项或主 exe 文件时,该木马会使用 explorer.exe 自我复制Programs/x。
它已经尝试通过 explorer.exe 联系可疑服务器,但被我的防火墙阻止了。
我:
- 从注册表中删除自动启动条目
- 检查我的服务是否有任何可疑之处
- 删除了木马
Programs/ - 通过系统卷信息找到了 2 个月前的 explorer.exe,并替换了可能被感染的 explorer.exe。
现在不再有可疑进程在运行(没有重复的 explorer.exe),也没有任何东西想连接该木马所有者的服务器。
我也用几个反恶意软件程序检查了我的系统。
该木马做了什么:
- 启动了第二个 explorer.exe
- 每次我删除主木马 exe 文件时,它都会被复制(由第二个 explorer.exe 复制)
- 当我删除自动启动项时,explorer.exe 也会重复生成该项。
当我终止可疑的 explorer.exe 时(它使用的内存只有 Windows 中不太可疑的程序的一半),发生了一件我从信息学课上的计算机上了解到的奇怪的事情:
在没有浏览器的桌面左上角弹出一个窗口,标题为“...的个人设置为...”,显然复制了一些文件。然后两个 explorer.exe 都再次启动,木马再次无处不在。
- 木马究竟做了什么来让浏览器来拯救它?
- 我的电脑现在没有这个新木马了吗?
- 我还应该在哪些位置检查该木马?
- trjoan 似乎不是很高级,它是否可以改变其他系统文件或者自动启动项对它至关重要?
答案1
你可以绝不100% 确信您已完全删除特洛伊木马。一旦您的安全受到破坏,您就不知道到底发生了什么。
您似乎已经弄清楚了它对您的系统做了什么。但是如果它安装了一个您没有发现的 rootkit,并且您的防病毒软件无法发现它,该怎么办?
有很多事情需要考虑,就像上面的例子一样。完全地当然是重新安装整个系统。
如果您不这样做,请运行一些防病毒软件包等。检查所有启动设置(注册表、msconfig 等)查找“奇怪”的运行进程并终止它们以查看会发生什么。
答案2
正如人们所说,如果不完全重新安装,您就无法完全确定……但是,如果您花时间深入检查您的系统(通常比应用良好的备份/重新安装策略花费的时间更多……),您可能有机会发现某些东西仍然存在。因此,这里有一些免费工具可以做到这一点。(按个人喜好排序)
sfc /scannow通过管理员命令提示符来开始和结束验证所有系统文件
反恶意软件扫描程序
- Avira
- 卡巴斯基病毒清除工具
- Malwarebytes 的反恶意软件
- a-Squared 应急 U 盘
- SpyBot - 搜索并摧毁
- 上一页X(非常好的启发式扫描程序。它有一些误报结果,并且无法使用免费版本删除所有恶意软件,但可能有助于发现一些恶意软件......)
为了更安全地使用多台发动机并使用它们启动媒体(喜欢ubcd4win) 或另一台(受到良好保护的)计算机。
Rootkit 检测器
- Rootkit揭露者
- 根源废除
- Sophos 反rootkit
- 格默尔(也许功能更强大,但也更难使用......)
深度系统检查工具
- 系统资源管理器列出进程、启动、服务、驱动程序...并使用它自己的数据库、VirusTotal 或 Jotti 服务检查可疑的进程。
- Sysinternals 自动运行
- Sysinternals 进程探索器
- Svchost 分析器
奖金:一个有趣的视频与 Mark Russinovich(ProcessExplorer 和 Autoruns 的创建者)讨论恶意软件清理
答案3
使用 Lavasoft_Ad_Aware_Anniversary_2009_Professional_8.0.7、spybot search& destroy 或 SUPERAntiSpyware
答案4
(1)如果完全没有被发现,你就永远无法完全确定你已经获得了全部信息。
(2)我更推荐使用 Mac。