标签: malware-removal

一个朋友发了一个很长的文件（.rar），他想让我在他安装之前帮他检查一下。

我下载了它并没有遇到任何问题，但它充满了 .exe 而不是预期的内容（字体），所以我建议他立即删除它而不是使用。

然后我继续做同样的事情，但文件夹根本不会删除。奇怪的是，文件运行良好，我从未运行过任何东西，但这就是我所看到的：

Could not find this item

This is no longer located in C:\Users\This_User\Desktop. verify the item's
location and try again.

我在没有帮助的情况下尝试了以下事情：

• 使用“解锁器”解锁和删除
• 在重新启动和重新启动时使用移动
• 使用 PendMoves（来自 sysinternals）并重新启动提升 cmd 行，执行 dir /x 以获取文件夹的短名称，然后 del 'shortna~1'
• 将文件夹移动到新文件夹，然后尝试删除父文件夹

我在 Windows 7 RTM 上，全新安装。有什么想法吗？

更新：只是为了确认，我已经运行了劫持这个和其他六个恶意软件检测器，一切都恢复了干净（没有额外的进程，没有其他明显的坏处）。以安全模式重新启动也无济于事。

假设您在街上找到一个 USB 驱动器，并且希望 100% 确定它没有被篡改，无论是通过软件还是修改其硬件（添加或修改组件等），以便零风险恶意软件。

完全格式化它是否足以 100% 确定没有恶意软件残留？如果是这样，使用 Tails 3.2 中的“磁盘工具”中的标准慢速进程完全格式化它是否足以做到这一点？

假设攻击者具有最高的技术能力。不仅仅是合理或合理的场景。

背景

我正在对用户打开 ZIP 电子邮件附件的 Windows 7 PC 进行消毒。

所有症状都与“数据恢复”恐吓软件的描述完全匹配，包括以下消息：

• Windows 检测到硬盘问题 潜在的磁盘故障可能会导致硬盘上存储的文件、应用程序和文档丢失。请尽量不要使用这台电脑，直到硬盘被修复或更换。
• 严重错误 RAM 内存可靠性极低。这个问题可能会导致系统故障

有关机器规格的详细信息，请参阅本文末尾。

初始目标

我首先想以安全模式启动计算机，以便我可以运行各种工具，例如TDSSKiller。

尝试以安全模式启动

当计算机启动时，它提供以下选项：

• Del BIOS 设置
• Tab 显示 BIOS POST 消息
• F8 引导菜单
• Alt+ F2Ez Flash 2

我希望/期望按下F8会让我进入高级启动选项屏幕，至于选择安全模式。

但是，在启动期间按 F8 仅显示以下内容：

请选择启动设备：

• 光盘：P0-TSSTcorp CDDCDW SH-S22

• RAID：英特尔数据

• RAID：英特尔SSDSA2M160G2GC

• up-arrow并down-arrow移动菜单选择

• ENTER 选择启动设备

• ESC 使用默认值启动

我的问题：我的机器配置（见下文）是否存在阻止高级启动选项菜单显示的问题？

机器配置

• C：驱动器是 SSD - Intel SSDSA2M160G2GC
• 其他分区属于 RAID 1 对
• 主板：华硕P6X58D-E
• 操作系统：Microsoft Windows 7 Ultimate …

我最近下载了 uTorrent（出于更道德方面的考虑：为了获得维基百科数据转储，因为官方下载服务器不断终止我的下载，而不是敲诈版权所有者......），一旦安装完成，我的浏览器就突然使用雅虎而不是谷歌作为他们的默认搜索引擎。

我已经在浏览器设置中将它改回了谷歌，但我担心它已经完成了各种其他讨厌的事情。谁能帮我

• 了解我可能安装了什么
• 摆脱任何不好的东西

我从http://www.utorrent.com/downloads/mac下载了我的 uTorrent 副本，只需单击安装向导即可。

我宁愿手动删除任何可疑文件/恢复任何更改的设置而不是使用工具。但是，如果其他人之前已经成功使用过良好工具的建议，则完全可以接受。

是否有“最佳”方法来检测 Windows（假设 XP）机器是否是僵尸网络的一部分？

长期以来，每当我遇到病毒/恶意软件/间谍软件时，我都会重新格式化我的硬盘驱动器，但是现在我已经升级到 Windows 10，我可以因为“重置我的 PC”功能而将那些日子抛在脑后吗？

听起来这几乎让我处于一种全新的、重新格式化的状态。

任何人都可以谈谈“重置我的电脑”对于摆脱这种垃圾的功效吗？

我在我支持的某些系统中看到了一个奇怪的异常。

GMER 在 csrss.exe 中标记 cdd.dll 线程，当我使用提升的管理员权限运行进程资源管理器时，我是：

1. 无法在任一 csrss.exe 进程中查看任何加载的 DLL
2. 无法查看实际的线程起始地址（而不是 winsrv.DLL 和 CSRSRV.dll，我看到的是 0x0 或 !RtlUserThreadStart
3. 无法查看任何 csrss.exe 线程的堆栈
4. 无法挂起或终止 csrss.exe 中的任何线程
5. 内存中的字符串显示“错误打开过程”

根据 Windows Internals 的第 6 版，当尝试查看“受保护进程”的线程时，这就是进程资源管理器中会看到的内容......

...进程资源管理器无法显示 Win32 线程起始地址，而是显示 Ntdll.dll 中的标准线程起始包装器。如果您尝试单击 Stack 按钮，您将收到错误消息，因为 Process Explorer 需要读取受保护进程内的虚拟内存，而它不能这样做。

但是，csrss.exe 不是受保护的进程。此外，即使是，通常仍然可以暂停“受保护的进程”，这在这种情况下是不可能的。

作为参考，这就是它通常在 Process Explorer 中的样子……取自新安装的系统。

我运行的其他工具都没有检测到任何恶意内容。但是，Process Hacker 能够访问这些线程，它们看起来就像我希望看到的那样......

我知道的两件事，我认为：

1. 这是异常行为（我查看的大多数其他系统都授予 Elevated Admin 对 csrss.exe 线程、字符串等的完全访问权限）
2. 这似乎与类似 rootkit 的隐藏行为一致。根据“Malware Analyst's Cookbook”一书中的引述：

如果 Rootkit 找到了一种可靠的方法来隐藏或阻止对 csrss.exe 的访问，而不会导致系统不稳定，那么这可能会导致问题。事实上，CsrWalker 的作者发现，一些黑客试图通过挂钩 ZwOpenProcess 和阻止检测工具读取 csrss.exe 的内存来阻止 CsrWalker 工作。

谁能解释为什么管理员运行具有提升权限的 PE 会看到这些异常，而不是未知的 rootkit？

一段时间以来，我一直在运行 Spybot S&D 和 AVG AntiVirus，它们都已完全更新到最新版本。在对我的系统进行定期检查时，我发现大量尝试连接到 007guard.com，但 Spybot 和 AVG 都没有报告任何相关信息。是的，我已经运行了完整扫描和 rootkit 扫描。在我的 8TB 磁盘上，这不是一项有趣的工作。

我注意到的是，我的主机文件中有一条记录，将 007guard.com 发送到 127.0.0.1。

在谷歌搜索后，我找到了关于这个过程的 0 条信息，另外还有 1 句话说“这是一个测试版，重新格式化”。在使用 SysInternals 套件中的一些工具进行检查时，我发现我打开的浏览器（FireFox 和 Chrome）正在尝试连接到 www.007guard.com:1337 和 www.007guard.com:1338。

我的问题：谁能向我提供有关此 007guard 的信息？

• 它是什么？
• 危险吗？
• 如何删除它？

我正在尝试删除一个可执行文件，但它失败并显示错误Access is denied甚至将/F其添加为del /F system.exe. 我正在使用提升的命令提示符。

尝试通过 Windows 资源管理器删除文件会产生以下结果：

我进入了可执行文件的安全属性。突出显示的是奇怪的权限条目，它们可能会阻止我删除此文件：

本来，它不让我删除条目；该选项呈灰色。我执行了takeown /F C:\ProgramData\994146\system.exe，删除了条目，添加了给我完全权限的条目，然后关闭了对话框。错误仍然存​​在。当我重新打开高级安全设置时，条目又回来了。

system.exe 的父文件夹 994146 在 ProgramData 中完全不可见。我在 ProgramData 上有“显示隐藏文件”。我不得不在 Windows 资源管理器的地址栏中手动输入路径。我也不知道如何编辑 994146 的属性，因为我无法在文件层次结构中选择它。

我有 Windows 7，并在其上安装了 virtualbox，其中包含带有所有更新的 Windows XP pro sp3 副本。我想使用虚拟环境来练习删除恶意软件……换句话说，我想故意感染它。这样做的最安全方法是什么，以便 win 7 也不会被感染？我应该在virutalbox中更改任何设置？
在有人问之前，不，我不写病毒/恶意软件。我是一名技术人员，想练习删除恶意软件。

谢谢。