可能重复:
如果我的计算机感染了病毒或恶意软件该怎么办?
我被一种绝对不可能感染的新病毒感染了。仅在过去 3 个月左右的时间里,互联网就被这种攻击性强的新病毒所覆盖。我的系统仅在一个月内就被感染了 5 次!由于微软不再为购买笔记本电脑提供原装磁盘,因此价格昂贵。
多年来,我曾清除过偶尔感染我电脑的病毒。但这种情况相当罕见。如果遇到困难,您可以通过完全重新安装来解决问题。但这种新病毒是我遇到过的最难清除的病毒,甚至重新安装也不起作用[非磁盘重新安装]。
扫描发现了 Mazbet、APPL.nircmd - 但我认为这些是病毒使用的别名。
没有一个病毒软件可以检测并删除它。到目前为止,我已经尝试过 Norton、MacAfee、Kaspersky、AVG、Combofix 等,但都不起作用。病毒甚至在安全启动时仍处于活动状态。重新安装后,它仍然保持活动状态。MS 不再提供原始磁盘。新笔记本电脑配有带启动功能的分区驱动器 - 但对于这种病毒,没有磁盘就不可能完全重新安装。
病毒现在已经变得如此严重,以至于已经转移到我的外部驱动器和分区驱动器。我可以通过它在每个驱动器中创建的锁定系统卷信息文件夹和开始出现在几乎所有主文件夹中的desktop.ini来识别它。在几天的时间里,它逐渐开始工作,将你锁定在越来越多的系统文件夹之外,然后造成大量问题。
它如何感染你的计算机
这种病毒通过谷歌图片感染计算机。我在谷歌搜索中看到一张图片时点击放大了它。我立即收到一条消息,说我的系统正在“病毒扫描”。这种病毒的来源网址通常以 cc 或 cn 结尾。但是,这条消息是假的,你无法停止这种“扫描”[下载]。它是自动完成的,而且速度很快。它没有提供关闭选项。你必须立即关闭计算机,否则它就会自行安装,因为你无法阻止它[我通过关闭计算机阻止了朋友的计算机受到同样的感染]。
感染系统后,它会复制或劫持一个新的系统卷信息文件夹(已锁定)。这会创建一个包含desktop.ini文件的$RECYCLE.BIN文件夹。一旦感染成功,关机时会收到消息:它说您的Windows更新正在优化。这需要很长时间。其实不然;这是病毒,您需要强制关机,即使它看起来已经在关机的路上,或者它劫持了更多的系统驱动器。重新启动时,它会再次显示类似的消息,表明它正在初始化您的Windows更新。这些都是虚假的Windows消息。
Desktop.ini 文件就像九头蛇:每次删除这些文件时,它们都会重新出现。它创建的文件将带有不同的日期,不一定是当前日期。其中一个文件的日期可以追溯到 2007 年。因此,恢复到另一个日期无济于事。病毒保留的时间越长,破坏力就越大。最终,它会不断给您的系统带来问题,并开始隐藏文件夹和回收站 - 最终导致整个驱动器崩溃。但这可能需要几天时间。它会逐渐起作用。
我所知道的是,在上次攻击之后,我尝试重新安装新系统五次,但仍然存在这种病毒的问题。
有人知道这是什么病毒以及如何从所有驱动器(包括外部驱动器)中永久清除它吗?
答案1
我不确定您描述的是恶意软件在您扫描项目后的行为。我的意思是,只要您在 Explorer 中自定义文件夹视图,desktop.ini 文件就会出现;您使用设置,Explorer 会在该文件夹中创建它们。除非您正在寻找隐藏文件夹,否则它是隐藏的。
系统卷信息文件夹?它之所以受到保护,是因为……嗯,它系统容量信息。它将出现在每一卷中。见http://support.microsoft.com/kb/309531。
您已经在使用多个扫描仪进行扫描(希望它们不是同时安装的......如果安装了,难怪您的计算机会表现得很奇怪。如果安装了多个防病毒软件,它们通常无法正常工作;您应该选择其中一个并使用那个。哎呀,如果只安装了它们,有些防病毒软件就无法正常工作。我已经记不清有多少次有人让我查看问题,而这是因为 Symantec 或他们安装的任何品牌都在使用代理来欺骗他们的电子邮件或干扰对未感染文件的文件访问......)所以只要您正在更新签名,就应该已经检测到任何相当新的病毒。通常,我会使用防病毒扫描加上 Spybot 加上 Malwarebytes 或 Ad-Aware 来检查恶意软件。如果我想要第二种意见,我会使用 housecall.antivirus.com 扫描计算机以直接从 Web 浏览器进行另一次防病毒/恶意软件检查。
如果我确信有什么问题,我会从启动盘启动,然后用可启动的防病毒 CD 检查。病毒不可能驻留在内存中并欺骗扫描仪如果您从启动 CD 启动;它不知道的唯一方式是签名是否在库中不包含检测它的内容。
至于您的“无光盘”问题,这就是 Windows 现在包含备份软件的原因。实际上,它已经拥有备份软件一段时间了。从已知良好的状态进行系统备份。或者,有软件可以对您的驱动器进行映像处理,以便您可以创建磁盘映像来从中进行恢复。备份您的系统。如果需要,请恢复它。定期进行新的备份。
接下来...你以什么身份运行?你没有说(我看到的)你运行的是什么操作系统。Windows XP?7?如果你运行的是较新版本的 Windows,你是以管理员身份运行的吗?恶意软件只能感染你有权访问的文件。如果你以管理员身份运行,它将能够轻松感染系统文件。如果你以非特权用户身份运行,可执行文件等只能复制到你的个人资料和你有权访问的目录中。因此,对于某些东西完全地要想破坏你的系统,你需要以特权用户身份运行。坏主意。
您的系统究竟在做什么让您觉得它被感染了?仅仅是因为这些隐藏文件的存在?还是奇怪的网络流量?您是否查看过网络连接,看看您的系统在路由器上做了哪些异常行为?您是否使用过 Process Explorer 和 Procmon(Sysinternals 套件的一部分;谷歌会告诉您更多信息)等工具来确定您的系统在做什么?如果它只是发现系统文件夹和 Explorer 设置文件,那么我对您确实被感染的想法持怀疑态度。
如果你真的担心这个问题,那么建议你安装 Linux。它是免费的。但它有一个学习曲线。好处:你将免受 Winx 病毒的侵害。缺点:如果你依赖特定的 Windows 软件,它可能无法运行。你将有一个陡峭的学习曲线,并且可能必须更多地了解你的计算机的工作原理。
或者,您可以尝试使用 Deep Freeze 之类的工具在计算机清洁后“冻结”其状态,但您还必须实际维持解冻期以进行更新,并将数据保存到外部驱动器。
或者,您可以全新安装 Linux(或 Windows),然后安装 VirtualBox,然后从那里浏览和工作。虚拟化 Windows 会话(或您安装的任何操作系统)将充当沙盒。只要您保持系统最新,就可以限制任何恶意软件对虚拟系统造成的损害。同样,这样做需要学习和工作流程的改变,有一些限制,但对于一般工作,如果您真的担心会发生什么,沙盒和监控将是一种很好的限制这些事情的方法。
不过,从您的描述来看,您确实在搜索 Windows 系统上正常的 Windows 系统文件,并从浏览器收到常见的虚假扫描仪通知。我认为您的系统实际上并没有感染任何东西,只是 Windows 垃圾。
答案2
听起来你可能正在遇到这里描述的恶意软件:http://cleanbytes.net/google-images-redirecting-to-a-new-virus
通过快速谷歌搜索,我没有找到关于如何删除它的具体信息,尽管http://www.google.com/support/forum/p/Web%20Search/thread?tid=6df7e15519290612&hl=en有一个可能有帮助的恶意软件清除论坛列表。
我的主要建议是使用 Firefox 来避免这种情况无脚本插件,它将阻止网站在您的浏览器中运行任何类型的活动内容,除非您将该特定网站列入白名单。通过阻止此攻击运行其 JavaScript 负载,应该防止其感染您的系统。
答案3
我笑了。
在您设置了查看首选项的任何文件夹中都会创建desktop.ini 文件。Windows 中的每个驱动器上都会默认创建系统卷信息文件夹。
这两种症状都不是病毒性的。如果有人告诉你这些症状是病毒性的,那他们就是在跟你开一个残酷的玩笑。
要消除此“病毒”,请在“我的电脑”窗口中,转到“工具”->“文件夹选项”。在“查看”选项卡中: - 选择“不显示隐藏文件和文件夹” - 取消选中“显示系统文件夹的内容” - 选中“隐藏受保护的操作系统文件(推荐)”
这将隐藏desktop.ini 文件和系统卷信息文件夹。
您描述的唯一感染是标准的假防病毒恶意软件,通常不太难删除。
下载安装 Malware Bytes AntiMalware 并在安全模式下运行它。
或者,如果您有第二台计算机,您可以将硬盘驱动器作为辅助驱动器或从属驱动器连接到该计算机,请执行此操作并从那里扫描它们。安全模式或从属驱动器扫描完成后,将驱动器连接到其正常计算机或启动到正常模式,然后再次运行 Malware Bytes 完整扫描以获取任何残留物。
您多次含糊地提到您认为与此感染相关的其他系统问题。提供有关这些其他问题的更多详细信息可能会让我们知道您实际上感染了哪种类型的病毒。请记住。desktop.ini 和系统卷信息文件和目录根本不表示存在病毒。
答案4
请参阅此处我的帖子,转到底部的编辑部分并将 Microsoft 安全扫描程序软件下载到干净的电脑上,运行该软件并制作可启动 CD 或拇指驱动器,从受感染的电脑上启动并进行全面扫描,删除它发现的任何东西。