最近,我们遇到了一位用户的计算机中存在恶意软件的情况——我们运行了 McAfee VirusScan Enterprise 软件、malware bytes 反恶意软件、combo-fix、adwcleaner 和 hijack this,这些只是其中几个应用程序。我还仔细检查了他安装的程序、浏览器扩展/附加组件、重置浏览器设置等……但似乎即使恶意软件已从他的系统中“删除”(根据反病毒/恶意软件应用程序),随机广告似乎仍会出现在浏览器窗口中,并在窗口右侧显示,广告底部写着“jabuticaba 的广告”。
我检查了可疑进程和位置,例如应用程序数据目录、程序数据、临时文件等……但似乎找不到任何东西。还尝试重新配置/其他 Windows 配置文件,但问题仍然在那里重复出现。
有没有什么方法可以通过工具/实用程序精确地查明这些广告是如何以及从何处加载到浏览器中的?
答案1
检查两个文件 C:\Windows\System32\dnsapi.dll 和 C:\Windows\SysWOW64\dnsapi.dll 的属性,如果发现它们的“修改日期”与感染时间相近,则这些文件已被感染,您需要用未感染的版本替换它们。感染不会改变文件大小和版本等其他属性,您只能通过修改日期判断它们是否被感染。这意味着您可以使用受感染的文件来找出您需要的未感染文件的哪个版本,因为版本号没有变化。一旦您知道版本号,就可以在另一个未感染的系统上查找这些未感染的文件,确保修改日期正确,例如与其他系统 dll 进行比较。
这些是我手动对 Windows 8.1 系统进行消毒的完整步骤,由于打印后台处理程序无法启动,因此无法打印,Windows 更新和防病毒更新程序无法更新,原因是没有 Internet 连接。此外,Jabuticaba 的广告偶尔会被 Shopperz 的广告和 LaSuperba 的广告取代,但格式都相同。您会发现修复这个问题需要相当长的时间 - 几天 - 也许其中一些步骤可以走捷径,但这就是我最终解决问题的方法。
卸载所有明显的广告软件类型程序
从 Internet Explorer 中删除所有明显的广告软件类型的工具栏(我没有使用 Chrome 或 Firefox)
下载并运行以下防病毒/反恶意软件程序的免费版本,反复运行它们,直到它们都找不到任何东西。3.1 AVG 3.2 Malwarebytes 3.2 Spybot Search and Destroy(所有更新程序第一次都无法工作)
重置 TCP 堆栈以解决打印和更新问题: 4.1 在 Windows 搜索功能中键入 CMD,右键单击找到的命令提示符项,然后单击以管理员身份运行 4.2 键入以下两个命令并按回车键:netsh int ipv4 reset netsh int ipv6 reset
重新运行上面列出的免费版本的防病毒/反恶意软件程序,这次它们应该会更新,反复重新运行它们,直到找不到任何东西
运行 ESET 在线扫描程序的免费版本(它发现了更多威胁)
将上面介绍中列出的两个 dnsapi.dll 文件替换到本回复中
使用命令在另一个提升的命令提示符中刷新 DNS:ipconfig /flushdns
重新启动 Windows
答案2
我知道另一个答案非常详细且经过深思熟虑,但最好的办法是真诚地重新映像机器。当怀疑有感染时,大多数地方都会这样做。