可能重复:
计算机感染了病毒或恶意软件,我该怎么办?
昨天我感染了一种非常严重的病毒,现在终于可以坐下来开始处理它了。在正常模式下登录(Windows 7)时,我实际上无法访问/强制启动任何典型的保障措施:
- 任务管理器
- 命令行
- Microsoft Forefront Endpoint(我的 AV)
我已在带网络连接的安全模式下重新启动,并对系统进行了扫描,查找自昨天以来发生更改的任何 EXE 或 DLL。 以下是结果:
显然,我把我的用户名涂黑了(只是为了安全原因)。这些在 SU 上是否被视为明显的病毒?我能找出哪些是可以安全删除的吗?SU 会如何处理这些?提前致谢。
答案1
您可能希望在该系统或其他安全系统上获取某种哈希工具,以便将这些文件复制到其中。获得文件的 MD5/SHA1/SHA256 哈希后,您就可以搜索病毒总数针对该哈希值,它将告诉您这些文件是否是受感染的文件。
答案2
答案3
下载并运行工商管理硕士而且很可能会处理这个问题。
答案4
我通常首先查看 EXE 和 DLL 文件的属性,看看它们是否有任何人签名 - 或者它们是否包含任何版本/公司信息。
恶意软件作者可以很容易地将其可执行文件命名为 svchost.exe,从而(暂时)避免引起怀疑。
右键单击该文件,选择属性,查看是否有“版本”选项卡。例如,我现在正在查看的计算机上的文件“calc.exe”显示以下信息:
文件版本:5.2.3790.1830 描述:Windows 计算器应用程序文件版权所有 (c) Microsoft Corporation。保留所有权利。
然后它下面还有大量其他版本信息(例如语言、内部名称)。
如果我发现一个 EXE 中没有这些信息,我会将其视为可疑文件,即使防病毒扫描程序测试无误。我还没有遇到过这种情况 - 但带有数字签名的文件可能无效。在文件属性中的“数字签名”选项卡中(只有签名存在时才会出现),单击“详细信息”按钮以验证证书。
我的妹妹似乎特别擅长发现 AV 供应商尚未发现的恶意软件 - 所以这种方法通常很有用。我曾经有幸在同一个月提交了三个之前未被发现的样本(结果发现它们都是已经存在的恶意软件的变体 - 但经过了足够的修改以避免被发现)。