上周,有两位家庭成员联系我,称他们的电脑可能感染了病毒。这两起案件涉及不同地理位置的不同电脑。唯一的相似之处是他们都在使用 BT,并且都使用了 McAfee Internet Security 软件包。
会发生什么:
用户向我描述了一个听起来像网站标准弹出窗口的内容 — 就是“在您的计算机上发现 X 病毒,存在风险,请单击此处删除等等”之类的内容 — 但是,它似乎隐藏在两台计算机的桌面图标后面,并且在计算机重新启动后仍然存在。用户登录计算机后,它就出现了,甚至在用户打开浏览器窗口之前。此外,在这两种情况下,它似乎都会阻止用户打开 McAfee,并称其已损坏。
我指示用户重新启动进入安全模式并尝试运行完整扫描,两个用户都照做了。两次扫描结果都正常。然而,在正常启动 Windows 后 — — 即使关闭了 WiFi — — 问题又出现了。
现在来看看真正奇怪的部分。
第一个用户是我妈妈。两天后我去查看了一下,发现它不见了。没有任何迹象,McAfee 可以正常打开,没有事件报告,ms-config 启动中没有显示任何异常...什么都没有。她让我格式化磁盘并重新安装 Windows,我照做了,它再也没有出现过。
然后,今天,第三个人打电话给我,说了同样的问题。同样的 ISP,同样的杀毒软件。
我有点困惑。我接下来该做什么?
答案1
当我在未设置的系统上遇到病毒时,我会这样做(按顺序)
- 启动到安全模式,以用户身份登录,运行 msconfig,查找用户主目录中启动的任何条目。这些可能是病毒,可以删除。
- 启动到安全模式,运行 MalwareBytes 并扫描恶意软件。
- 抓取 AVG 救援盘,从中启动。运行扫描并替换/重命名任何发现受感染的文件。这显然是最难远程处理的。
当我设置计算机时,用户会获得两个帐户:管理员和用户。我向他们解释他们应该使用“用户”帐户,并且只使用管理员来安装软件。在这种情况下,如果他们感染了病毒,我会让他们注销,以管理员身份登录,然后运行 MalwareBytes,据我所知,在 98% 的情况下,它都能找到并删除病毒。
答案2
它是一个特洛伊木马,根据杀毒软件供应商的不同,杀毒软件可能会起作用有时,在本例中确实如此。
感染媒介可能是从不正当的网站广告中进行驱动下载。
Malwarebytes和超级反间谍软件来救援。后者有一个便携式下载,因此您甚至不需要安装它就可以运行它。
两者同时使用。然后重新启动并检查 McAfee 是否再次正常工作。