我管理的服务器被名为 Cerber 的勒索软件感染。他们要求受害者支付赎金(这类病毒就是用来赎金的)。
到目前为止,我已经缩小了感染源的范围并将其删除。我在 Google 上搜索了一下,成立 多种的 文章关于如何从系统中删除它。尤其是 bleepingcomputer 上的那个相当有启发性。
他们说病毒位于%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe。不幸的是,受感染的系统上不存在该文件夹 :(
他们还提供了启动病毒可执行文件的多个注册表项:
HKCU\Control Panel\Desktop\SCRNSAVE.EXE "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
这些条目都不存在。
我在哪里(或者如何)找到病毒的可执行文件,以便将其从系统中清除?
答案1
似乎存在一种新的病毒,它将自己置于略微不同的位置并使用不同的注册表项。
您应该能够在 下找到该病毒%AppData%\{7DD25B43-EDEC-C6A2-4E97-EB6E11BD11CD3}。
特别有趣的是:病毒只能访问其当前用户的注册表。因此,它嵌套在配置单元中,HKEY_USERS/[...]/而不是HKEY_CURRENT_USER有时。但各个配置单元中的注册表项是相同的。
如果我不知道路径,或者“公开的”路径不起作用,我该如何找到它?
当受感染的用户登录时,我通过仔细检查来自管理员帐户的 TaskManager 来确定病毒。为了简化此过程,您可能需要在 TaskManager 的“详细信息”选项卡中显示“图像路径名称”和“命令行”列。在这种情况下,
任何伪装成 Windows 可执行文件或SCRNSAVE.EXE来自\AppData\Roaming高度可疑,应进行调查。