标签: malware-detection

我最近下载了 uTorrent（出于更道德方面的考虑：为了获得维基百科数据转储，因为官方下载服务器不断终止我的下载，而不是敲诈版权所有者......），一旦安装完成，我的浏览器就突然使用雅虎而不是谷歌作为他们的默认搜索引擎。

我已经在浏览器设置中将它改回了谷歌，但我担心它已经完成了各种其他讨厌的事情。谁能帮我

• 了解我可能安装了什么
• 摆脱任何不好的东西

我从http://www.utorrent.com/downloads/mac下载了我的 uTorrent 副本，只需单击安装向导即可。

我宁愿手动删除任何可疑文件/恢复任何更改的设置而不是使用工具。但是，如果其他人之前已经成功使用过良好工具的建议，则完全可以接受。

如今，许多恶意软件能够检测到它何时在 VMWare、VirtualPC、WINE 下甚至在Anubis或CWSandBox等沙箱中运行虚拟化。

这实质上意味着恶意软件在虚拟环境中运行时通常会“阻止”或不恶意运行，以阻止对其真实意图的分析。

我的想法是，为什么不让您的 PC 看起来好像是虚拟化的？有谁知道我如何才能做到这一点？

我收到了一封来自不完全值得信赖的来源的电子邮件，它可能是合法的，但我不确定。其中包含有关.docxMicrosoft Word 文件和.xlsxMicrosoft Excel 文件的信息。

我已经扫描了http://virustotal.com上的文件，没有发现病毒，但我也读到宏可以存在于文件本身的 xml 或压缩部分。

我正在寻求有关查明潜在恶意意图的想法，例如查找宏。

我在我支持的某些系统中看到了一个奇怪的异常。

GMER 在 csrss.exe 中标记 cdd.dll 线程，当我使用提升的管理员权限运行进程资源管理器时，我是：

1. 无法在任一 csrss.exe 进程中查看任何加载的 DLL
2. 无法查看实际的线程起始地址（而不是 winsrv.DLL 和 CSRSRV.dll，我看到的是 0x0 或 !RtlUserThreadStart
3. 无法查看任何 csrss.exe 线程的堆栈
4. 无法挂起或终止 csrss.exe 中的任何线程
5. 内存中的字符串显示“错误打开过程”

根据 Windows Internals 的第 6 版，当尝试查看“受保护进程”的线程时，这就是进程资源管理器中会看到的内容......

...进程资源管理器无法显示 Win32 线程起始地址，而是显示 Ntdll.dll 中的标准线程起始包装器。如果您尝试单击 Stack 按钮，您将收到错误消息，因为 Process Explorer 需要读取受保护进程内的虚拟内存，而它不能这样做。

但是，csrss.exe 不是受保护的进程。此外，即使是，通常仍然可以暂停“受保护的进程”，这在这种情况下是不可能的。

作为参考，这就是它通常在 Process Explorer 中的样子……取自新安装的系统。

我运行的其他工具都没有检测到任何恶意内容。但是，Process Hacker 能够访问这些线程，它们看起来就像我希望看到的那样......

我知道的两件事，我认为：

1. 这是异常行为（我查看的大多数其他系统都授予 Elevated Admin 对 csrss.exe 线程、字符串等的完全访问权限）
2. 这似乎与类似 rootkit 的隐藏行为一致。根据“Malware Analyst's Cookbook”一书中的引述：

如果 Rootkit 找到了一种可靠的方法来隐藏或阻止对 csrss.exe 的访问，而不会导致系统不稳定，那么这可能会导致问题。事实上，CsrWalker 的作者发现，一些黑客试图通过挂钩 ZwOpenProcess 和阻止检测工具读取 csrss.exe 的内存来阻止 CsrWalker 工作。

谁能解释为什么管理员运行具有提升权限的 PE 会看到这些异常，而不是未知的 rootkit？

我刚刚与一家主要的 AV 公司通了电话，询问为什么一个鲜为人知的 AV 感染了他们的病毒没有。那个delima的细节并不重要。

在谈话中引起我注意的是当技术人员提到“我们进行传统扫描而其他人进行启发式扫描”时。他不停地谈论传统方法是如何被证明的等等。但我无法从他那里得到任何关于差异的细节？

是否真的存在有效性差异，或者这仅仅是技术上的差异，每个都有其优缺点？有什么区别？

我刚刚在我的主计算机上看到了这个窗口：

显然，它来自Windows。我查了一下，进程EXE文件是原始文件（efsui.exe或类似的东西）。但是，我不使用 EFS（我从未听说过）。我从未加密任何驱动器。

我的系统是否有可能被加密我的文件的勒索软件感染？

我有一台明显被感染的机器，当我运行 MalwareBytes 时，它告诉我它发现了一些“恶意”注册表项（令人惊讶的是，这些包含当前不存在的 javascript 文件的文件路径）。但是，仅此而已。完整扫描未发现任何恶意文件或内存中的恶意隐藏进程。就像，也许（隐藏？）进程出于某种原因定期将击键（热键？）注入到当前打开的任何窗口中。

然后在另一台没有明显感染的机器上，它发现了一个“malware.trace”注册表项，但同样没有文件或进程等。

这与人们对 MalwareBytes 的体验有何不同？它是否通常会发现感染的注册表项症状，但仅此而已？或者没有感染但仍然存在一些恶意注册表项是很常见的事情吗？

每次我在地址栏中搜索内容时，如何检测导致 Chrome 打开“ http://eaes.2track.info/ ”标签的原因？

有趣的是，这只发生在我启动 Windows 后的前几次搜索中。之后它不再打开“ http://eaes.2track.info/ ”的选项卡。

一些细节：

• 我使用 Windows 7 SP1 x64 Ultimate。
• 我没有看到任何可疑的东西Control Panel\All Control Panel Items\Programs and Features。只有 Chrome 受到影响：Internet Explorer 和 Firefox 没问题。具有隐身模式的 Chrome 也可以正常工作。
• Avast 没有抱怨任何事情
• 查看 chrome://settings/searchEngines，地址栏使用 Google 和{google:baseURL}search?q=%s&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:iOSSearchLanguage}{google:searchClient}{google:sourceId}{google:contextualSearchVersion}ie={inputEncoding}，这对我来说似乎很好。
• 我注意到一些书签图标更改为 （WM 是预期的，但它之前的图标改变了）。
• 运行 chrome://settings/safetyCheck 不会显示扩展有任何问题。
• C:\Windows\System32\drivers\etc只包含一行NUL字符（可能前段时间被一些非恶意的垃圾软件破坏了）。

• 我有扩展名“自动刷新”（ID= ifooldnmmcmlbdennkpdnlnbgbmfalko），但它没有加载。我认为这意味着它不会运行。

  

防止浏览器的默认搜索被劫持的最佳方法是什么？另外，清理这种劫持的最快/最简单的方法是什么？

我只需要清理计算机上的所有浏览器，因为不知何故，它们在地址栏和搜索栏中将 thefastestweb.com 作为默认搜索。我没有访问奇怪的网站或安装随机软件，因为这台电脑是一台工作电脑。

我从其他浏览器中删除了它并将其留在 IE 上，以查看 Malwarebytes 是否会捕获类似的内容，但扫描结果很干净。

前几天我在 Craigslist 上发布了一辆汽车，从那时起，我只收到了包含人们希望我点击的链接的诈骗电子邮件。我知道不要点击链接，这是一个骗局，但我仍然很好奇这些人在做什么。有没有办法安全地查看我知道可能是恶意的网站？我知道我可以创建一个 VM 机器，但正在寻找另一种可能比这更快一点的方法。

就其价值而言，我正在运行 XP Pro SP3，并且通常使用 Firefox (3.5.5)。

可能的重复：
如果我的计算机感染了病毒或恶意软件怎么办？

我被一种绝对不可能的新病毒击中了。仅在过去 3 个月左右的时间里，互联网才被这种侵略性的新病毒所覆盖。我的系统在短短一个月内被击中了5次！由于微软不再提供购买笔记本电脑的原始磁盘，因此价格昂贵。

多年来，我清除了偶尔感染我的计算机的病毒。但这些事件相当罕见。如果事情变得困难，您可以通过完全重新安装来解决问题。但是这个新病毒是我遇到过的最难对付的，连重装都没用【非磁盘重装】。

扫描发现了 Mazbet、APPL.nircmd - 但我认为这些是病毒使用的别名。

没有，没有病毒软件可以检测并删除它。到目前为止，我已经尝试过 Norton、MacAfee、Kaspersky、AVG、Combofix 等，但没有任何效果。该病毒甚至在安全启动中仍处于活动状态。并重新安装它仍然保持。MS 不再提供原始磁盘。新的笔记本电脑带有带有引导功能的分区驱动器 - 但是有了这种病毒，没有磁盘就不可能完全重新安装。

病毒现在变得如此严重，它已将自身转移到我的外部驱动器和我的分区驱动器中。我可以通过它在每个驱动器中创建的锁定的 System Volume Information 文件夹和开始出现在几乎所有主文件夹中的 desktop.ini 来识别它。在几天的时间里，它开始工作，将您锁定在越来越多的系统文件夹之外，然后导致大量问题。

它如何感染您的计算机

这种病毒感染计算机的方式来自谷歌上的图片。当我在 Google 搜索中查看图片并单击放大时我得到了它。我立即收到一条消息，我的系统正在执行“病毒扫描”。这种病毒的来源网址通常以cc或cn结尾。但是，此消息是假的，您无法停止此“扫描”[下载]。它是自动完成的，而且速度很快。它没有为您提供关闭的选项。您必须在计算机自​​行安装之前立即关闭计算机，因为您无法阻止它[我通过关闭它来阻止朋友的计算机免受相同的感染]。

在它感染您的系统后，它会复制或劫持一个新的 System Volume Information 文件夹（已锁定）。这将创建一个包含 desktop.ini 文件的 $RECYCLE.BIN 文件夹。一旦它受到严重感染，您就会在关闭时收到消息：它说您的 Windows 更新正在优化。这需要永远。它不是; 它是病毒，即使它看起来已经在关闭或劫持更多系统驱动器，您也需要强制关闭。重新启动时，它再次给出类似的消息，它正在初始化您的 Windows 更新。这些是虚假的 Windows 消息。

desktop.ini 文件就像九头蛇：每次删除其中任何一个时，它们都会重新出现。它创建的文件将带有不同的日期，而不是当前日期。一个日期可以追溯到 2007 年。因此恢复到另一个日期并没有帮助。病毒保持不变的时间越长，它开始造成的损害就越大。最终，它会导致您的系统不断出现问题，并开始为您隐藏文件夹和回收站 - 并最终使您的整个驱动器崩溃。但这可能需要几天时间。它逐渐起作用。

我所知道的是，我在上一次受到的攻击中尝试了五次重新安装新系统，但仍然遇到了该病毒的问题。

有谁知道这种病毒是什么以及如何从包括外部驱动器在内的所有驱动器中永久删除它？

我的网站是：hints.steptoinstall.com。它是使用 Wordpress 构建的。

我的最新帖子是：PHP – 本年版权，在过去 5 天发布此帖子后，我发现前面的站点包含有害程序问题。

因此，我的流量很低。

我该如何解决这个问题？

但主站点工作正常。安装步骤