vista 防病毒软件病毒甚至在安全模式下也会启动

vista 防病毒软件病毒甚至在安全模式下也会启动

我姐姐的 Vista 笔记本电脑上感染了假冒的防病毒木马。它没有改变她的背景,但到处弹出“Vista 安全中心”之类的垃圾东西,导致她的互联网瘫痪 - IE 和 Firefox 在启动时都会崩溃,如果它们能保持运行,就会出现 DNS 重定向或代理之类的东西,表明计算机已被感染。呸!

通常,当我必须清理这些东西时,我会从安全模式启动,运行 HijackThis 以禁用有问题的进程自动启动,然后重新启动并运行扫描仪(最近是 adaware)来清理东西。

但这次,这个该死的东西甚至在安全模式下也能运行。我处于安全模式,但几秒钟后,木马应用程序弹出,我无法连接到互联网,因为它有相同的代理垃圾。所以......我的问题:

  1. 我想我现在的计划是运行可启动的 AVG CD 并看看是否可以清理它,但我过去并没有这样做过,导致......

  2. 这是我认识的人在几周内第三次感染此类病毒。据说所有计算机都运行 MS Security Essentials 或 AVG - 是它们没有在病毒造成损害之前发现病毒,导致病毒感染,还是发生了其他事情?

  3. 说到 AVG,不久前我尝试在另一台受感染的计算机上运行可启动 CD,但什么也没发现。直到我执行了 hijackthis 后才成功清理了一些东西。

  4. 这东西怎么会在安全模式下运行?在这种情况下我该如何禁用启动项?运行 msconfig 时我没有看到任何有趣的东西,但也许我错过了。今晚我查看它时没有 hijackthis,所以我接下来会尝试运行它,看看会发生什么,但由于该木马即使在安全模式下也在运行,我不确定它不会杀死当我尝试运行它时。

有什么想法或主意吗?谢谢!

编辑:感谢大家的建议!事实证明,这是我做过的最棘手的删除之一。我设法在安全模式下运行 HijackThis,在弹出窗口之间(它是一个一直在运行的 obw.exe),并禁用了一些看起来不对劲的东西,但没有一个跳出来作为有问题的应用程序。我还能够在安全模式下运行 AVG 的扫描,但它没有说发现任何东西。但不知何故,我(或木马?)设法在运行时禁用了 .exe 扩展名 - 我启动到常规模式,无法再启动应用程序。每个 .exe 快捷方式都会提示我想要将其与哪个应用程序关联;尝试运行任务管理器或 regedit 时说找不到该应用程序。

我设法找到一些说明,让我将 regedit.exe 复制到 regedit.com,让我运行 regedit 尝试恢复一些 .exe 关联,以便它们可以运行。我在密钥(ROOT-某物?)中发现它显然在调用此 obw.exe 应用程序并通过它运行每个 .exe 启动。很好。无论如何,一旦我恢复注册表设置,一切似乎都设置好了。我运行了 AdAware 和 MS Security Essentials 扫描,结果都正常。我祈祷它会一直这样!

答案1

回答您的问题...

  1. 无论如何都试一试

  2. 这可能是一种尚未受到保护的新恶意软件,但更有可能的是有人点击了某个东西来安装它

  3. 再次尝试,确保在扫描之前运行更新,并设置扫描选项以进行积极扫描

  4. 我通过将受感染的驱动器放入 USB 底座并使用 Symantec Corporate AV 进行扫描来删除此类内容。关键是受感染的操作系统无法运行,因为恶意软件使用的是 rootkit 和内核挂钩的常用技术。

一个可以为您提供帮助的工具和信息的好地方是Microsoft Sysinternals 网站&论坛

答案2

听起来感染病毒的用户可能以管理员身份运行 - 当 FakeAV 在受限用户下运行时,它会将自身“安装”到用户的 appdata 文件夹中。最有可能的是,由于它也在安全模式下运行,因此即使使用新用户帐户也可能无济于事。

在这种情况下,你的朋友将会是Malwarebytes 的反恶意软件。他们的免费下载将能够清除这种感染。如果可能的话,我建议拔出硬盘,将其放入机箱中,然后从另一台计算机进行清理(这样您就不会与正在运行的进程等作斗争)。这些 FakeAV 非常擅长阻止/删除 Malwarebyte 的程序 exe(您的第一个线索是它会起作用!)。

如果您最终必须在受感染的计算机上运行 MB 的 AntiMalware,请查看其论坛上的说明:我被感染了,我该怎么办。它涵盖了当感染积极阻止您安装其软件时您可以采取的一些步骤。

安装完成后,您需要做的就是运行“快速扫描”(如果您最终拉出硬盘,则进行完整扫描,只需从列表中选择硬盘即可)。

编辑:

如果你担心程序试图自动运行,请获取一份微软的 Sysinternals 套件。您要查找的特定程序是autoruns.exe- 检查“登录”选项卡并删除任何可疑的内容。它看起来会像这样:

自动运行程序

答案3

它可能与特定用户配置文件相关联。我最近看到了这种感染,其中用户的常规配置文件受到感染,以至于即使在安全模式下我也遇到了问题,但本地管理员配置文件是干净的......或者至少足够让我能够继续进行故障排除和清理。当然,一旦我意识到情况的性质,我就会确保仔细检查她的个人资料。

因此,请尝试使用其他配置文件登录。这可能会有所帮助。

相关内容