不可能的新病毒

Question

可能的重复：
如果我的计算机感染了病毒或恶意软件怎么办？

我被一种绝对不可能的新病毒击中了。仅在过去 3 个月左右的时间里，互联网才被这种侵略性的新病毒所覆盖。我的系统在短短一个月内被击中了5次！由于微软不再提供购买笔记本电脑的原始磁盘，因此价格昂贵。

多年来，我清除了偶尔感染我的计算机的病毒。但这些事件相当罕见。如果事情变得困难，您可以通过完全重新安装来解决问题。但是这个新病毒是我遇到过的最难对付的，连重装都没用【非磁盘重装】。

扫描发现了 Mazbet、APPL.nircmd - 但我认为这些是病毒使用的别名。

没有，没有病毒软件可以检测并删除它。到目前为止，我已经尝试过 Norton、MacAfee、Kaspersky、AVG、Combofix 等，但没有任何效果。该病毒甚至在安全启动中仍处于活动状态。并重新安装它仍然保持。MS 不再提供原始磁盘。新的笔记本电脑带有带有引导功能的分区驱动器 - 但是有了这种病毒，没有磁盘就不可能完全重新安装。

病毒现在变得如此严重，它已将自身转移到我的外部驱动器和我的分区驱动器中。我可以通过它在每个驱动器中创建的锁定的 System Volume Information 文件夹和开始出现在几乎所有主文件夹中的 desktop.ini 来识别它。在几天的时间里，它开始工作，将您锁定在越来越多的系统文件夹之外，然后导致大量问题。

它如何感染您的计算机

这种病毒感染计算机的方式来自谷歌上的图片。当我在 Google 搜索中查看图片并单击放大时我得到了它。我立即收到一条消息，我的系统正在执行“病毒扫描”。这种病毒的来源网址通常以cc或cn结尾。但是，此消息是假的，您无法停止此“扫描”[下载]。它是自动完成的，而且速度很快。它没有为您提供关闭的选项。您必须在计算机自​​行安装之前立即关闭计算机，因为您无法阻止它[我通过关闭它来阻止朋友的计算机免受相同的感染]。

在它感染您的系统后，它会复制或劫持一个新的 System Volume Information 文件夹（已锁定）。这将创建一个包含 desktop.ini 文件的 $RECYCLE.BIN 文件夹。一旦它受到严重感染，您就会在关闭时收到消息：它说您的 Windows 更新正在优化。这需要永远。它不是; 它是病毒，即使它看起来已经在关闭或劫持更多系统驱动器，您也需要强制关闭。重新启动时，它再次给出类似的消息，它正在初始化您的 Windows 更新。这些是虚假的 Windows 消息。

desktop.ini 文件就像九头蛇：每次删除其中任何一个时，它们都会重新出现。它创建的文件将带有不同的日期，而不是当前日期。一个日期可以追溯到 2007 年。因此恢复到另一个日期并没有帮助。病毒保持不变的时间越长，它开始造成的损害就越大。最终，它会导致您的系统不断出现问题，并开始为您隐藏文件夹和回收站 - 并最终使您的整个驱动器崩溃。但这可能需要几天时间。它逐渐起作用。

我所知道的是，我在上一次受到的攻击中尝试了五次重新安装新系统，但仍然遇到了该病毒的问题。

有谁知道这种病毒是什么以及如何从包括外部驱动器在内的所有驱动器中永久删除它？

Answer 1

我不确定您所描述的是在您扫描项目后恶意软件的行为。我的意思是，只要您在资源管理器中拥有文件夹的自定义视图，desktop.ini 文件就会出现；你玩设置，资源管理器将在该文件夹中创建它们。除非您要查找隐藏文件夹，否则它是隐藏的。

系统卷信息文件夹？这是受保护的，因为...好吧，它是系统卷信息。它将出现在每个卷上。请参阅http://support.microsoft.com/kb/309531。

您已经在使用多个扫描仪进行扫描（希望它们不是同时安装的……难怪如果安装了它们，您的计算机会表现得很奇怪。如果安装了多个扫描仪，防病毒软件通常无法正常运行；您应该选择一个并使用那个。哎呀，如果他们是唯一安装的，其中一些就不能很好地发挥作用。我无法计算有人让我查看问题的次数，这是因为赛门铁克或任何品牌他们安装的是将他们的电子邮件用作代理或干扰对未受感染文件的文件访问...）因此，只要您更新签名，您就应该检测到任何相当新的东西。一般来说，我有一个防病毒扫描加上 Spybot 加上 Malwarebytes 或 Ad-Aware 进行恶意软件检查。

如果我真的确定某些东西有问题，我会从引导盘引导并使用可引导的防病毒 CD 进行检查。有没有办法，病毒可以在内存中一直驻留在欺骗扫描仪，如果你从启动光盘启动; 它不知道的唯一方法是签名是否不包含库中的某些内容来检测它。

至于您的“无光盘”问题，这就是 Windows 现在包含备份软件的原因。事实上，它已经有一段时间了。从已知良好状态进行系统备份。或者，有一些软件可以对您的驱动器进行映像，以便您可以创建要从中恢复的磁盘映像。备份您的系统。如果需要，恢复它。定期进行新备份。

接下来……你在跑什么？你没有说（我看到了）你正在运行什么操作系统。视窗XP？7？如果您运行的是较新版本的 Windows，您是否以管理员身份运行？恶意软件只能感染您有权访问的文件。如果您以管理员身份运行，它将能够轻松感染系统文件。如果您以非特权用户身份运行，则可执行文件等只能复制到您有权访问的配置文件和目录中。因此，要完全破坏您的系统，您需要以特权用户身份运行。馊主意。

你的系统究竟在做什么，你认为它被感染了？只是这些隐藏文件的存在？奇怪的网络流量？您是否查看过您的网络连接以了解您的系统在路由器上执行的异常操作？您是否使用过 Process Explorer 和 Procmon（Sysinternals 套件的一部分；谷歌会告诉您更多信息）等工具来识别您的系统正在做什么？如果它只是发现系统文件夹和资源管理器设置文件，我对您实际上已被感染的想法持怀疑态度。

如果您真的对此感到担心，那么建议您安装 Linux。哪个是免费的。但它有一个学习曲线。额外奖励：您将对 Winx 病毒免疫。缺点：如果您依赖特定的 Windows 软件，它可能无法运行。您将有一个陡峭的学习曲线，并且可能需要更多地了解您的计算机的工作原理。

或者，您可以尝试使用 Deep Freeze 之类的方法在计算机干净后“冻结”计算机的状态，但您还必须实际维护它并在解冻期间进行更新并将数据保存到外部驱动器。

或者，您可以全新安装 Linux（或 Windows），然后安装 VirtualBox 并从那里进行浏览和工作。虚拟化的 Windows 会话（或您安装的任何操作系统）将充当沙箱。只要您使系统保持最新状态，就可以限制任何恶意软件对虚拟系统造成的损害。同样，这是一个学习和工作流程的改变，有一些限制，但对于一般工作，如果你真的对可能发生的事情感到紧张，沙盒和监控将是限制这些事情的一个很好的方法。

但是，从您的描述来看，听起来您确实在寻找在 Windows 系统上正常的 Windows 系统文件，并从浏览器中获取通常的虚假扫描仪通知。我认为你的系统并没有真正感染任何东西，而是 Windows cruft。