昨天,一位家庭成员让我看一下他们的工作笔记本电脑(他们是自雇人士),因为一小时未使用后,内存使用率几乎达到 100%(空闲的 6GB RAM 一小时后不应该达到 100% 的利用率!)。
我发现:
- 一个重复的程序
java.exe
正在运行(当我注意到这个问题时我卸载了 Java,但即使重启后它仍然在运行),并且内存使用量每分钟增加约 50MB。 - A
RAVBg64.exe
在后台运行,占用内存约 500MB(疑似病毒伪装成 Realtek 控制面板) - 通过 Parted Magic 的 ClamAV 进行病毒扫描,发现了两个木马病毒- 感染 HP 打印机驱动程序安装包(可通过 Parted Magic 的文件管理器轻松删除)
- 病毒禁用了通过任何 Wi-Fi 适配器进行的互联网访问(Windows 声称它看不到任何 Wi-Fi 网络 [已验证的适配器已启用],但我自己的上网本可以正常找到网络),但通过 LAN 连接可以工作...
- 在后台运行
Ag_.exe
,CPU 使用率约为 70%(可能是僵尸网络比特币矿工?),由于任务管理器不允许我打开该进程的文件位置,并且对硬盘的任何搜索都找不到它,因此无法找到此文件。
这台笔记本电脑感染了严重病毒(其根本原因可能是 Trojan.Bifrose),而且我也没能删除任何东西(除了 Trojan.Bifrose 检测和RAVBg64.exe
)。
不幸的是,Trojan.Bifrose 显然能够将自身附加到 Windows 的核心文件(注册表以及 System32 内的各种可执行文件)上,因此感染很可能仍然存在。
与其尝试清除感染,不如备份重要的业务文件(文件不多,大多数文件都在他们的电脑上,而电脑上没有这样的问题),然后擦除并重新安装 Windows?
我看不到更好的办法;我可能要花几个小时清除感染,但它却继续自我复制。
任何对此的意见都将受到赞赏。
答案1
从轨道上删除它,重新格式化驱动器,然后从可信来源(安装 CD)完全重新安装到空白驱动器。
还要检查 BIOS 看看那里的所有设置是否仍然有意义。
原因在于恶意软件可以隐藏在最奇怪的地方,例如,rootkit 可以隐藏在可见文件系统之外并直接从隐藏分区加载程序(例如)。
答案2
在您开始破坏 OP 系统、所有设备驱动程序以及所有数据和应用程序之前,请先确定您是否感染了“Rootkit”(引导记录内的感染)。如果您仔细处理,大多数病毒感染都可以治愈。Rootkit 在保持自身活力方面特别有效。
这个解决方案是微软支持部门在三年半前给我的。它是免费的,易于使用,而且第一次使用时效果非常好:
Suggestion: Remove Trojan or viruses
=====================================
1. Download file TDSSKiller.zip from the following link -- save it on the Desktop.
http://support.kaspersky.com/downloads/utils/tdsskiller.zip
2. Double-click TDSSKiller.zip to unzip the file.
3. Double-click TDSSKiller.exe to scan the system.
4. Wait for the scan and disinfection process to complete.
5. If malware is found in the System Root or any drivers, select "Cure" to rebuild
that area.
卡巴斯基是市面上最优秀的防病毒产品之一——还有其他几款同样有效的防病毒产品。
如果需要,您可以将文件下载到另一台计算机,将其复制到拇指驱动器,然后将其插入有问题的机器以针对主驱动器(C :) 运行它。
无论它是否能解决您的问题,您朋友的机器都需要一个永久有效的防病毒/反恶意软件包来查找所有病毒和恶意软件——可能还有更多。祝你好运!