标签: malware

一段时间以来，我几乎可以肯定情况确实如此。当然，在某些时候，我继子的笔记本电脑上的恶意软件获得了对家庭网络的访问权限并设法更改了一些设置。

路由器是一个D-Link DIR-615.

在 Windows 7 系统上，搜索提供程序被劫持，并在 Internet Explorer 9 启动时不断提示我们更改它。它会打开 Manage Addons 对话框，我们可以点击任何提供者，但点击Set as Default什么都不做。我们可以删除除具有讽刺意味的无名之外的任何内容，如果我在没有 IE9 启动的情况下启动 Internet 属性，它甚至会删除。然后我尝试了Reset所有设置，但它没有改变任何东西。

Windows 在注册表或文件系统的哪个位置存储这些数据，以便我可以手动删除条目？

每当您尝试关闭、注销或重新启动 Windows 7 并且有一些应用程序仍在运行并且 Windows 无法很好地关闭它们时，Windows 7 将显示一个黑屏，询问您是否应该在关闭/重新启动之前强制关闭这些应用程序. 现在这是一个不错的功能，如果您误按电源按钮，它可以避免您在保存文档之前意外关闭文档...

我的问题是：每次尝试关闭/重新启动窗口时都会出现此屏幕，但打开的应用程序列表为空。怎么来的？为什么 Windows 会询问我是否要强制关闭某个应用程序，同时它向我显示一个空列表？我觉得这里有些不对劲。它可能是一个隐藏自己的机器人，所以 Windows 没有得到它的名字，但出于某种原因，Windows 感觉有一些打开的应用程序？

这是正常行为（错误？）？或者我有什么问题？

我有 Norton AV、Spybot、Malwarebyte、EMET ……他们都没有报告任何可疑的情况。

我看到当我在网络中的移动设备（手机、平板电脑）上浏览时，浏览器被重定向到恶意软件/广告软件，提示我的设备已损坏，我应该修复它，安装一些软件等等。

我检查了我的路由器设置。原来我的 DNS 设置已更改。他们是; 主要：128.199.85.140 和次要：8.8.8.8。所有这一切，而我一直在使用“自动分配的 DNS”选项，该选项为 ISP 分配的 DNS 提供了现在自动禁用的功能。即使在启用“启用自动分配的 DNS”选项后，设置也会自动恢复到上述 IP 地址通过一段时间后禁用“启用自动分配的 DNS”选项。

它是 DLink ADSL+路由器。以下是规格：

软件版本：IM_1.00

软件日期：2010 年 6 月 11 日

引导加载程序 (CFE) 版本：1.0.37-5.12 之前

每次我在地址栏中搜索内容时，如何检测导致 Chrome 打开“ http://eaes.2track.info/ ”标签的原因？

有趣的是，这只发生在我启动 Windows 后的前几次搜索中。之后它不再打开“ http://eaes.2track.info/ ”的选项卡。

一些细节：

• 我使用 Windows 7 SP1 x64 Ultimate。
• 我没有看到任何可疑的东西Control Panel\All Control Panel Items\Programs and Features。只有 Chrome 受到影响：Internet Explorer 和 Firefox 没问题。具有隐身模式的 Chrome 也可以正常工作。
• Avast 没有抱怨任何事情
• 查看 chrome://settings/searchEngines，地址栏使用 Google 和{google:baseURL}search?q=%s&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:iOSSearchLanguage}{google:searchClient}{google:sourceId}{google:contextualSearchVersion}ie={inputEncoding}，这对我来说似乎很好。
• 我注意到一些书签图标更改为 （WM 是预期的，但它之前的图标改变了）。
• 运行 chrome://settings/safetyCheck 不会显示扩展有任何问题。
• C:\Windows\System32\drivers\etc只包含一行NUL字符（可能前段时间被一些非恶意的垃圾软件破坏了）。

• 我有扩展名“自动刷新”（ID= ifooldnmmcmlbdennkpdnlnbgbmfalko），但它没有加载。我认为这意味着它不会运行。

  

我需要在使用一些用过的硬盘驱动器之前对其进行擦除，以防它们包含恶意软件。移除主机保护区是否安全？

HPA 是用来存储备用扇区的吗？它只有 1 MB，但可能包含恶意软件。HPA 可以擦除然后恢复吗？如果它消失了，会损害驱动器的运行吗？或者没有 HPA 更安全，因为恶意软件无法隐藏在那里？

我只是注意到我在 msconfig 的 Startup 中有一个未知项目，命令是

rundll32.exe C:\Windows\system32\sshnas21.dll,GetMainWnd

这是什么？

防止浏览器的默认搜索被劫持的最佳方法是什么？另外，清理这种劫持的最快/最简单的方法是什么？

我只需要清理计算机上的所有浏览器，因为不知何故，它们在地址栏和搜索栏中将 thefastestweb.com 作为默认搜索。我没有访问奇怪的网站或安装随机软件，因为这台电脑是一台工作电脑。

我从其他浏览器中删除了它并将其留在 IE 上，以查看 Malwarebytes 是否会捕获类似的内容，但扫描结果很干净。

在我的浏览器上，链接是在文本中的随机单词上创建的，当我将鼠标悬停在它们上面时，会弹出一个小广告窗口，这很烦人。

我在这里读到这称为 Intellitxt 并且网站管理员有意将它们添加到页面中，要关闭它们，我可以禁用这些页面的 Javascript。但这对我来说不是一个好主意，因为这些 Intellitxt 几乎出现在我的每个页面上，包括在 stackoverflow.com 上，而且我可能会通过禁用 Javascript 来破坏其他内容。

很难相信有人认为这将是添加到他们网站的一个很好的功能，而且，我的同事没有在我获得它们的同一网站上将它们放在他的计算机上。

有谁知道如何摆脱这些的另一种方法？这是一个例子。当我将鼠标悬停在“打开”一词上时，会弹出此广告窗口。

ps.：我使用的是 Windows 7 Professional，我的浏览器是 Google Chrome 22.0.1 和 IE 9。

我的服务器上有恶意软件。所以我想出了如何找到所有恶意文件

 grep -r --include*.php "Some String from files" .

这似乎工作正常！

但如何删除它们？我试过使用 xargs

grep -r --include=*.php "FilesMan" . | xargs -I {} rm {}

但是得到了

rm: cannot remove `./www/wp-content/plugins/zuglohjetok/vaoaddiy.php:$default_action = FilesMan;': No such file or directory

有人可以分享一些神奇的代码行吗？

而且我还尝试通过“查找”查找服务器上所有最近修改过的文件，但这给我带来了大量文件。有没有其他花哨的方法来查找恶意软件或受感染的文件？