抽象的-- 我正在尝试找出一个“犯罪”进程,当我不使用 Windows 10 PC 时,该进程会自动打开广告。我尝试了进程监视器,但进程跟踪在名为的系统服务上结束后台任务基础设施服务。我请求帮助下一步找出是谁通过这项服务启动了广告。
长话短说。我感染了一些病毒(100% 确定是病毒),并手动和使用 Windows Defender 进行了一些清理(2016 年 11 月 13 日深夜)。但似乎病毒并未完全清除。
某种东西(不太确定这是否是病毒)滋生火狐浏览器(我的默认浏览器)每天一次只显示相同的网络广告,它在这里 - 广告页面,不要打开,因为我不确定该页面是否安全:http://qaafa.com/7fKEs582d18c5aebf7euplsX1eWReAj?r=L2Rhb2xud29kL3p5eC5zcHBhc3dvZG5pd3phZC8vOnB0dGg=。第一次发生是在2016年11月14日。今天是11月16日,这确实是第三次发生。
由于该 Firefox 的父进程 ID 最终指向了空值(这是我昨天第二次发生这种情况时的经验),因此我使用了进程监控观察进程创建事件。如果不进行过滤,监视器每秒会捕获数千个事件,因此我进行了过滤,仅包括生成“firefox.exe”的进程创建事件。
好消息是,它成功了。该事件被捕获为
High Resolution Date & Time: 11/16/2016 6:41:00.6482030 PM
Event Class: Process
Operation: Process Create
Result: SUCCESS
Path: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
TID: 8528
Duration: 0.0000000
PID: 904
Command line: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -osint -url "http://dazwindowsapps.xyz/download/index.php?mn=9995"
启动 Firefox 的父进程的详细信息如下
Description: Windows Explorer
Company: Microsoft Corporation
Name: explorer.exe
Version: 10.0.14393.0 (rs1_release.160715-1616)
Path: C:\WINDOWS\explorer.exe
Command Line: C:\WINDOWS\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
PID: 7000
Parent PID: 812
Session ID: 1
User: <hostname>\<username> (Personal user I am using)
Auth ID: 00000000:0008e4e4
Architecture: 64-bit
Virtualized: False
Integrity: Medium
Started: 11/16/2016 6:41:00 PM
Ended: 11/16/2016 6:42:00 PM
Modules:
...
坏消息是,很明显,父进程是“explorer.exe”,路径表明它实际上是真正的Windows资源管理器程序和流程。
UUID{75dff2b7-6936-4c06-a8bb-676a7b00b24b}指向HKLM\SOFTWARE\Classes\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b},其中有一个“LocalServer32”子键,其“(默认)”值为%SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b}。
然而,进程信息还显示“explorer.exe”这个特定实例的父 ID 是 812,当我回到电脑时,它仍在运行——是BrokerInfrastructure(后台任务基础设施服务)。
现在我看到的是,这项服务显然是一个代理,正如其名称所暗示的那样。一定有“某个人”(例如一个进程)通过这个代理发布了一些事件,并且代理本身使用命令行生成了 Windows Explorer 来启动 Firefox。这个事件很可能是(猜测)“我想打开这个 URL”,而真正的 Windows 服务只是为它选择了我的默认代理。
好的...你下一步怎么做我应该采取什么措施来了解实际的“刑事”程序?
附加信息
我实际上不仅运行了进程监视器,还打开了“审计进程跟踪”本地组策略审计显示当时(下午 6:41:00)发生了以下“进程创建”事件:
1 --
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x27b0
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x504
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
2——
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: SYSTEM
Account Name: <hostname>$
Account Domain: HOME
Logon ID: 0x3E7
Target Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Process Information:
New Process ID: 0x1b58
New Process Name: C:\Windows\explorer.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x32c
Creator Process Name: C:\Windows\System32\svchost.exe
Process Command Line:
3——
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/16/2016 6:41:00 PM
Event ID: 4688
Task Category: Process Creation
Level: Information
Keywords: Audit Success
User: N/A
Computer: <hostname>
Description:
A new process has been created.
Creator Subject:
Security ID: <hostname>\<username>
Account Name: <username>
Account Domain: <hostname>
Logon ID: 0x8E4E4
Target Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Process Information:
New Process ID: 0x388
New Process Name: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Token Elevation Type: %%1938
Mandatory Label: Mandatory Label\Medium Mandatory Level
Creator Process ID: 0x1b58
Creator Process Name: C:\Windows\explorer.exe
Process Command Line:
答案1
听起来像是运行计划任务的服务,你检查过没有创建每天运行的计划任务吗?该任务通过 explorer 启动 url,这可以解释 explorer 将其传递给默认浏览器吗?听起来最有可能是罪魁祸首
答案2
首先,您是否已尝试使用以下工具安装并运行威胁扫描Malwarebytes? 如今,这已经真正成为病毒/恶意软件“故障排除 101”程序。
除此之外,坦率地说,在 Windows 构建方面,我总是非常细心。如果我的 Windows 以这种方式被感染,我会确保备份相关文件和文件夹,然后执行完整的操作系统清除和重新加载。像 Process Monitor 这样的实用程序杀戮(我通常首先运行它)和 Malwarebytes 都很棒,但如果不重新加载操作系统,感染后很难真正安心。
答案3
在其他地方找到了阻止这种情况发生的解决方案:
转到任务计划程序并禁用/删除 PPI 更新程序。这应该会停止它。