看起来我已经被病毒感染了,即 NSIS:Downloader-BX [Drp],在名为 的文件中DpiSca.exe
,但是......
我没有访问任何常见的可疑网站(warez、pr0n 等),也没有其他人使用我的电脑。
我没有得到任何常见症状。
距离我上次感染已经过去五年多了,所以我很有信心我知道如何照顾自己。
我无法在互联网上找到有关我所感染病毒的任何信息。
据 VirusTotal 称,只有 avast! 认为它是病毒。
Sysinternals Process Explorer 似乎是一个备受推崇的程序,它没有显示任何可疑进程。
在运行免费 avast! 中最全面的扫描后,它多次没有发现任何感染。我明天要清理朋友的电脑,一旦清理完毕,我打算用它来扫描我的硬盘,以防万一。
该文件似乎是 NSIS 安装程序。提取后,它仅包含两个.dll
文件 -
ExecPri.dll
和 inetc.dll
- 并且根据 VirusTotal 和 avast! 的说法,它们似乎都没有被感染。文件intec.dll
似乎是 NSIS 的标准部分,但我无法找到有关的信息ExecPri.dll
。
分析安装程序文件后,唯一可疑的字符串与 RichEdit 有关,它似乎是 JavaScript 编辑器,但我没有使用它。其余的似乎是标准的 NSIS 样板。
我正在使用 OpenDNS,它没有报告任何可疑的连接 DNS 解析。
另一方面:
该文件在被删除后仍多次出现在我的\Windows
目录中,我不知道是什么创建了它。(有没有什么工具可以确定哪个文件是由哪个进程创建的?)
仅有的参考我在 Google 一个处理恶意软件感染的论坛的缓存中找到了它,它被标记为病毒代理。
我的问题是如何检查该文件是否是病毒的一部分?
答案1
由于它是一个 exe,你可以将其上传到阿努比斯看看它可能在尝试做什么。我知道你找到了这两个 dll,但这可能有助于追踪它可能做的任何其他事情。如果你没有发现 Anubis 有任何可疑之处,并且你已经做了所有其他事情,那么它可能没有生命迹象,你可以删除它并忽略它。
答案2
如果它是一种病毒,那么它正在做一件相当愚蠢的工作。
我怀疑这是一个编写得很差的程序,或者是一个很旧的程序。
您没有提到的一件事是您在哪里找到该文件或从哪里下载的。您从哪里获得它的?
答案3
我感染了同样的病毒,现在还在清理我的电脑。我只找到了两个关于它的引用,它们都在 WhatsRunning.com 上。
我以为我已经用防病毒软件删除了该程序,但是今天早上我发现了一些你可能感兴趣的残留东西。
我只是恰巧在如何极客研究如何绕过 Windows 7 中的 UAC 控制来打开某些程序。我被引导到我的计划任务。
嗯,您知道吗,At1、At2、At3、At4、At5、At6、At7 和 At8(如果您查看“属性”,它们都是 DpiSca.exe)都计划每周 7 天晚上 10:00 使用 SYSTEM 权限以最高权限运行。
我必须将每个都更改为 Vista 配置才能停止并删除每个,但这样有效。希望如此。