内核模式 Rootkit

内核模式 Rootkit

在我家的其他 3 台电脑上,我相信我们有一个内核模式 rootkit适用于 Windows。

我们认为,看起来所有这些设备上都装有相同的 rootkit。

我们从我的计算机上更改了所有重要的密码,现在运行的是 Linux。

所有受感染的电脑上Symantic 端点​​保护,因为它是我父母工作的大学免费提供的。在我看来,赛门铁克就是个垃圾,因为当我在自己的电脑上试用它时,它甚至没有设法删除它发现的跟踪 cookie。

计算机及其设置:

计算机 A:Vista Business;symantec antivirus。以管理员身份运行,无需密码。IE8。除了 Windows 自带的安全软件外,没有其他安全软件。IE8 安全设置默认

计算机 B:XP Home Premium;赛门铁克防病毒软件。以普通用户身份运行,无密码,管理员帐户密码较弱,间谍机器人,使用默认设置的 IE8,有时使用 Firefox

计算机 C:XP Home Premium;赛门铁克防病毒软件。以普通用户身份运行,无密码,管理员帐户密码较弱,使用默认设置的 IE8,除 Windows 自带的安全程序外,没有其他安全程序

这就是正在发生的事情。从我爸爸的论坛帖子中剪切并粘贴。

--

当我扫描我的笔记本电脑(装有 Windows Vista Small Business 的 Dell XPS M1330)时,Symantec Endpoint Protection 会在以下一些文件 9129837.exe、hide_evr2.sys、VirusRemoval.vbs、NewVirusRemoval.vbs、dll.dll、alsmt.ext 和 _epnt.sys 上挂起一段时间,大概 10 秒左右。如果运行我设置为在新的缩略图驱动器上运行的扫描,它就会发生这种情况,即使缩略图未插入,它也会发生这种情况。如果我只扫描 C: 驱动器,它似乎不会发生这种情况。我检查了 symantec endpoint protection 以及 Microsoft Security Essentials 和 Malwarebytes Anti-Malware 是否存在问题。他们什么也没发现,我通过搜索隐藏文件也找不到任何东西。接下来我尝试了微软的 rootkitrevealer。它 (rootkitrevealer) 发现了 279660 个 (或大约) 差异,之后界面出现了很多故障,我真搞不清楚到底发生了什么。屏幕很不稳定。rootkitrevealer 在文件夹 \programdata\applicationdata 中拉出了很多文件,并且在末尾还附加了大量 \applicationdata。

--

如您所见,我们所做的就是安装 MSE 和 MBAM 并使用它们进行扫描。除了跟踪 cookie 之外什么都没有。然后我接管并从闪存驱动器运行了 Microsoft 的 rootkitrevealer.exe。它发现了很多差异,但只有大约 20 个与安全有关,其余的都是您无法从 Windows 资源管理器中看到的文件。我看不到上面的文件列表(扫描挂起的文件)是否在列表中。另一件事是,我不知道该如何处理扫描发现的东西。

然后我们检查了其他计算机,当使用赛门铁克扫描时,它们也做了同样的事情。

大学里的人似乎认为爸爸可能没有感染病毒,但两台计算机的运行速度明显变慢,而且 IE8 开始出现异常。

我的家人都不太懂电脑,导致 rootkit 出现的两个可能原因是:

-我爸爸买了一个新的闪存驱动器,里面附带了一个数据安全可执行文件 -我爸爸必须为工作下载大量文章

这些是唯一引人注目的事情,但它可能是任何事情。

我该如何处理插在那些计算机中的 USB 和相机存储卡?

我们目前正在备份数据,试用 IceSword 1.22 后我会再次发帖。我刚刚看了我爸爸的论坛主题,有人推荐 GMER。我也会试试。

我们刚刚弄清楚发生了什么。赛门铁克运行正常,电脑运行缓慢是因为一些新服务/软件。至少我现在让我的父母使用 Ubuntu LiveCD 来处理银行事务。

答案1

如果您确实感染了 rootkit,唯一可以完全确定它已消失的方法就是完全格式化并重新安装 Windows。Rootkit 可以躲过任何扫描方法,具体取决于其编码的彻底程度。

你的系统确实出现了问题,如果 rootkit revealer 发现了差异,我担心会发生最坏的情况。

答案2

首先要说的是,如今所有主流防病毒产品也理所当然地会检查 rootkit。

第二点是,病毒感染通常是由于用户的疏忽或缺乏知识而发生的。Windows 确实不应该受到指责。

也就是说,我会在受感染的计算机上安装尽可能多的防病毒软件,希望其中至少有一个可以检测到病毒,这样你就可以在网上搜索删除说明。

谷歌搜索“防病毒在线扫描”并使用一些最知名的防病毒软件扫描计算机(每个都需要几个小时才能完成)。小心目前到处流传的那些假冒防病毒软件。
我喜欢的一些是趋势科技上门服务卡巴斯基实验室免费病毒扫描艾塞特获得极好的评价。请注意,他们可能要求您使用 Internet Explorer 作为浏览器

如果失败,请使用救援 Live-CD 病毒扫描程序,它可以不受病毒干扰地工作。我最喜欢Avira AntiVir 救援系统因为它每天更新几次,所以下载的 CD 是最新的。作为启动 CD,它不使用 Windows,所以你的病毒无法阻止它。

将来,最好教育你的家人使用 Firefox 而不是 IE,并结合使用一些附加组件,例如 NoScript。

注意:我不是赛门铁克的粉丝。

答案3

您也可以尝试根源废除。我听说过它的好消息。

答案4

如果您不想碎片整理并重新安装,请拉出驱动器并将其带到已知良好的系统(或带有 av 软件的可启动 CD)并扫描驱动器。

相关内容