内核模式 Rootkit

在我家的其他 3 台电脑上，我相信我们有一个内核模式 rootkit适用于 Windows。

我们认为，看起来所有这些设备上都装有相同的 rootkit。

我们从我的计算机上更改了所有重要的密码，现在运行的是 Linux。

所有受感染的电脑上Symantic 端点​​保护，因为它是我父母工作的大学免费提供的。在我看来，赛门铁克就是个垃圾，因为当我在自己的电脑上试用它时，它甚至没有设法删除它发现的跟踪 cookie。

计算机及其设置：

计算机 A：Vista Business；symantec antivirus。以管理员身份运行，无需密码。IE8。除了 Windows 自带的安全软件外，没有其他安全软件。IE8 安全设置默认

计算机 B：XP Home Premium；赛门铁克防病毒软件。以普通用户身份运行，无密码，管理员帐户密码较弱，间谍机器人，使用默认设置的 IE8，有时使用 Firefox

计算机 C：XP Home Premium；赛门铁克防病毒软件。以普通用户身份运行，无密码，管理员帐户密码较弱，使用默认设置的 IE8，除 Windows 自带的安全程序外，没有其他安全程序

这就是正在发生的事情。从我爸爸的论坛帖子中剪切并粘贴。

--

当我扫描我的笔记本电脑（装有 Windows Vista Small Business 的 Dell XPS M1330）时，Symantec Endpoint Protection 会在以下一些文件 9129837.exe、hide_evr2.sys、VirusRemoval.vbs、NewVirusRemoval.vbs、dll.dll、alsmt.ext 和 _epnt.sys 上挂起一段时间，大概 10 秒左右。如果运行我设置为在新的缩略图驱动器上运行的扫描，它就会发生这种情况，即使缩略图未插入，它也会发生这种情况。如果我只扫描 C: 驱动器，它似乎不会发生这种情况。我检查了 symantec endpoint protection 以及 Microsoft Security Essentials 和 Malwarebytes Anti-Malware 是否存在问题。他们什么也没发现，我通过搜索隐藏文件也找不到任何东西。接下来我尝试了微软的 rootkitrevealer。它 (rootkitrevealer) 发现了 279660 个 (或大约) 差异，之后界面出现了很多故障，我真搞不清楚到底发生了什么。屏幕很不稳定。rootkitrevealer 在文件夹 \programdata\applicationdata 中拉出了很多文件，并且在末尾还附加了大量 \applicationdata。

--

如您所见，我们所做的就是安装 MSE 和 MBAM 并使用它们进行扫描。除了跟踪 cookie 之外什么都没有。然后我接管并从闪存驱动器运行了 Microsoft 的 rootkitrevealer.exe。它发现了很多差异，但只有大约 20 个与安全有关，其余的都是您无法从 Windows 资源管理器中看到的文件。我看不到上面的文件列表（扫描挂起的文件）是否在列表中。另一件事是，我不知道该如何处理扫描发现的东西。

然后我们检查了其他计算机，当使用赛门铁克扫描时，它们也做了同样的事情。

大学里的人似乎认为爸爸可能没有感染病毒，但两台计算机的运行速度明显变慢，而且 IE8 开始出现异常。

我的家人都不太懂电脑，导致 rootkit 出现的两个可能原因是：

-我爸爸买了一个新的闪存驱动器，里面附带了一个数据安全可执行文件 -我爸爸必须为工作下载大量文章

这些是唯一引人注目的事情，但它可能是任何事情。

我该如何处理插在那些计算机中的 USB 和相机存储卡？

我们目前正在备份数据，试用 IceSword 1.22 后我会再次发帖。我刚刚看了我爸爸的论坛主题，有人推荐 GMER。我也会试试。

我们刚刚弄清楚发生了什么。赛门铁克运行正常，电脑运行缓慢是因为一些新服务/软件。至少我现在让我的父母使用 Ubuntu LiveCD 来处理银行事务。