可能重复:
计算机感染了病毒或恶意软件,我该怎么办?
我被感染了“系统检查“恐吓软件不止一次,而是两次——在重新格式化之后。现在很清楚,我必须绝对弄清楚我是如何被感染的。
一些信息:
- 我已经上网 12 年了,这是我第一次感染病毒。
- 重新格式化后,我没有打开任何不受信任的可执行文件。事实上,我几乎没有做任何事情,例如安装 Firefox、Visual Studio 和一些其他程序。
- 我下载并安装了所有 Windows 更新。
- 我控制为入站连接打开哪些 TCP 端口。
- 自重新格式化以来,我确实访问了很多网站。
- 我的 E:\ 硬盘驱动器包含我的所有数据并且没有重新格式化,也没有安装。
简而言之:感染不可能(至少第二次)由用户错误或交叉污染引起。
这会给我使用的软件留下漏洞。这让我完全不知所措,因为我亲自安装的所有东西我都重新下载了,因此更新到了最新版本。
我尝试了 4 款杀毒软件(包括 AVG),其中 3 款无法检测到“系统检查”,尽管它尚未被删除且仍在运行。第 4 款终于检测到了它,并且还检测到了以下位置的受感染文件:C:\Users\MyName\AppData\LocalLow\Sun\Java\Development\cache\6.0\56\6a3c9ff8-68fce308。
Java 未更新到最新版本(版本 6 Update 21;最新版本为 Update 30)。我没有亲自安装它,它一定是随我安装的其他东西一起提供的(可能是 NetBeans),而且我一定会在下次重新格式化时亲自安装最新版本。
但是我仍然很担心。该文件可能是误报。版本 30 可能仍然容易受到攻击。它可能与 Java 无关,只是恶意软件决定安装自身以保持隐藏的某个地方。它可能还有其他 1000 种原因。
我能做些什么?
答案1
System Fix 最常见的两种感染媒介是伪造的在线扫描页面和通过利用浏览器插件(如 Java)或浏览器脚本语言(如 Javascript 或 VBScript(仅限 IE))中的漏洞。仔细想想,这很有道理,因为插件/脚本允许攻击者在您访问受感染的网站时在您的机器上运行他的代码;他所需要的只是一个允许他逃离沙盒的漏洞。
鉴于该恶意软件是在 Java 缓存中检测到的,您使用的过期 Java 插件很可能是感染的手段。您只需访问恶意或受感染的网站即可感染。如果做得好,您可能甚至不会注意到任何奇怪的事情发生。
当然,防止插件和脚本攻击的最佳方法是不允许它们运行。这可以通过使用 NoScript 等浏览器插件有选择地实现,也可以通过禁用插件和/或脚本来全局实现。