什么是 Microsoft“启动时间删除工具”?

什么是 Microsoft“启动时间删除工具”?

我正在使用 Windows 7 电脑。据所有者报告,他们认为电脑已感染恶意软件,他们已让一家海外公司尝试修复该问题,但他们的某些行为导致电脑无法启动。

我在 C:\Windows\System32\Drivers 中发现了一个可疑的驱动程序文件,名为 trjaaake.sys。虽然我认为该文件是在假定感染后约两天内创建/修改的,但该文件是最近才创建/修改的。在此文件的版本选项卡下,我看到以下内容:

Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0

该文件似乎是用数字签名签署的,但我不知道如何判断该签名是否合法/有效。

我把文件提交给 Virus Total,所有 42 个不同的防病毒引擎都报告说文件没有问题。Norton File Insight 还说这个文件被成千上万的计算机用户使用,并且被评为可信。

我确实在 C:\Windows\Temp 中找到了一个名为 BootClean.log 的文件。它包含以下内容(我已将用户名更改为“[redacted]”):

Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk 
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk 
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe 
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\ 
BTR Completed Successfully

所以我想我的问题是,有人知道这个文件是什么吗?它可能是 Microsoft 恶意软件删除工具的一部分吗?

答案1

一个好的开始可能是运行信号验证- 这可能有助于验证签名。从这里开始,如果它是由您信任的公司签名的,那么它不太可能是您的问题;否则,您可能想要删除它。

另一方面,一旦机器被入侵,从此以后就不能再信任它了。我建议备份个人文件和任何其他非操作系统特定的数据,并重新格式化/重新安装操作系统。

答案2

这些文件实际上是由 Windows Defender 动态创建的。目的是在重启时删除感染系统的恶意软件。

查看每个文件的属性,你会发现这些文件的名称都是随机的,并且经过了 Microsoft 证书颁发机构的数字签名。重新启动后,.SYS 文件实际上会在完成其预期目的(即在重新启动时删除恶意软件)后消失。

这些都是好文件,不错!

相关内容