标签: malware

几天前，我注意到我的电脑上有一个新软件，名为“lavasoft webcompanion”。我不知道它从哪里来。我从未安装过 lavasoft 的任何东西。所以，我卸载了该程序。

今天，我注意到 Google 搜索结果的开头几乎没有广告。这些广告不是来自谷歌。因此，我使用procexp打开 Firefox 。我发现一个名为lavasofttcpservice.dll的 dll加载到 firefox 中，位于C:\\Windows\SysWOW64\目录中。这个 dll 对我来说似乎很可疑，因为几天前我从同一家公司删除了一个程序，并且它几乎被加载到我系统中运行的每个程序中。我尝试删除它，但系统阻止我，因为其他程序正在使用它。我尝试重命名它，它成功重命名为新名称。然后我重新启动程序并从计算机中删除该 dll。我还注意到另一个带有C:\\Windows\system32\名称的dll lavasofttcpservice64.dll（无法准确记住名称）。我在同一过程中删除它。

但下次我重新启动计算机时，打开 Firefox 并尝试浏览网站，但无法正常工作。当我输入网址并按 Enter 键时，它除了清除地址栏之外什么也不做。我什至无法登录 Skype。我的任务栏中的图标显示我可以访问互联网。

我可以访问 Internet，但没有任何应用程序可以访问 Internet。任何有关故障排除的想法将不胜感激。我在 Win7 x64 机器上遇到这个问题。

我有一些无法摆脱的广告软件。我将不胜感激任何建议。我尝试过 Malware Bytes 和各种手动方法来摆脱它。

据我了解，ShellExperienceHost.exe 可用于广告软件。我使用 ProcessExplorer 来识别任务。

进程浏览器视图

可以看到命令行为：“C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe” -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca

非常可疑。如果我终止任务，窗口就会消失并立即重新出现，显示相同的广告。

广告软件图片

我已在计算机中搜索 .mca 文件。我已按修改日期搜索了所有文件（当我认为它与另一个应用程序共同安装时），我已在注册表中搜索了所有 ShellExperienceHost.exe 条目。没有一个与上面的 .mca 文件匹配，我无法判断其他注册表项是否有效。所有这些看起来都很可疑，因为它们都有这些随机的角色名称（这可能是完全有效的）。我已经卸载了我怀疑加载此的软件。（以前没见过，安装应用后1秒就弹出了。）

如有任何帮助或建议，我们将不胜感激。

新的信息。该进程本身也在我的另一台计算机上，杀死它也会导致它再次产生，但没有声音或广告出现。尽管 ProcessExplorer 将该窗口识别为 ShellExperienceHost.exe 的一部分，但似乎还有其他事情发生。可疑计算机上的 ShellExperienceHost.exe 上的文件日期和时间是正确的，因此我不相信该文件已被篡改。我会继续狩猎。

有谁知道新的Microsoft 恶意软件解决方案比 Spyware Doctor 好还是差？我的直觉告诉我，Spyware Doctor 会更好，因为它们不像 Microsoft 那样是万事通，但 Microsoft 对自己操作系统的了解也可能会给他们带来优势。

这是一个相当主观的问题，所以我将把它标记为社区维基。

有可能吗？或者你知道我如何删除它的其他方法。我认为连接速度变慢了。昨天，当我下载它时，它的速率为 80-100 kbps，但现在只有 40-50kbps。我用它做什么。

有没有人有反键盘记录器的经验？我一直在看Zemana，它对我来说看起来不错。

最近我的互联网急剧变慢。我下载了一个工具来查看我的 Vista 计算机上的 TCP/IP 连接。我发现很多 TCP/IP 连接是通过 SVCHost 建立到 212.192.255.240 的。似乎它正在尝试连接到不同的端口。

我认为我的计算机感染了某种恶意软件，但我不确定如何摆脱它。我对这个 IP 做了一些研究，但一无所获。

任何建议都非常感谢。

更新：
这是 HiJackThis 日志文件 - 我找不到任何奇怪的东西。我发现该程序还试图与俄罗斯的 91.205.127.63 建立连接。

    Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:20:54 PM, on 4/29/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\SYSTEM32\Taskmgr.exe
C:\Windows\explorer.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Software602\Print2PDF\Print2PDF.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\VertrigoServ\Vertrigo.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\X-NetStat Professional\xns5.exe
C:\Program Files\Mozilla Firefox\firefox.exe …

可能的重复：
如果我的计算机感染了病毒或恶意软件怎么办？

我被一种绝对不可能的新病毒击中了。仅在过去 3 个月左右的时间里，互联网才被这种侵略性的新病毒所覆盖。我的系统在短短一个月内被击中了5次！由于微软不再提供购买笔记本电脑的原始磁盘，因此价格昂贵。

多年来，我清除了偶尔感染我的计算机的病毒。但这些事件相当罕见。如果事情变得困难，您可以通过完全重新安装来解决问题。但是这个新病毒是我遇到过的最难对付的，连重装都没用【非磁盘重装】。

扫描发现了 Mazbet、APPL.nircmd - 但我认为这些是病毒使用的别名。

没有，没有病毒软件可以检测并删除它。到目前为止，我已经尝试过 Norton、MacAfee、Kaspersky、AVG、Combofix 等，但没有任何效果。该病毒甚至在安全启动中仍处于活动状态。并重新安装它仍然保持。MS 不再提供原始磁盘。新的笔记本电脑带有带有引导功能的分区驱动器 - 但是有了这种病毒，没有磁盘就不可能完全重新安装。

病毒现在变得如此严重，它已将自身转移到我的外部驱动器和我的分区驱动器中。我可以通过它在每个驱动器中创建的锁定的 System Volume Information 文件夹和开始出现在几乎所有主文件夹中的 desktop.ini 来识别它。在几天的时间里，它开始工作，将您锁定在越来越多的系统文件夹之外，然后导致大量问题。

它如何感染您的计算机

这种病毒感染计算机的方式来自谷歌上的图片。当我在 Google 搜索中查看图片并单击放大时我得到了它。我立即收到一条消息，我的系统正在执行“病毒扫描”。这种病毒的来源网址通常以cc或cn结尾。但是，此消息是假的，您无法停止此“扫描”[下载]。它是自动完成的，而且速度很快。它没有为您提供关闭的选项。您必须在计算机自​​行安装之前立即关闭计算机，因为您无法阻止它[我通过关闭它来阻止朋友的计算机免受相同的感染]。

在它感染您的系统后，它会复制或劫持一个新的 System Volume Information 文件夹（已锁定）。这将创建一个包含 desktop.ini 文件的 $RECYCLE.BIN 文件夹。一旦它受到严重感染，您就会在关闭时收到消息：它说您的 Windows 更新正在优化。这需要永远。它不是; 它是病毒，即使它看起来已经在关闭或劫持更多系统驱动器，您也需要强制关闭。重新启动时，它再次给出类似的消息，它正在初始化您的 Windows 更新。这些是虚假的 Windows 消息。

desktop.ini 文件就像九头蛇：每次删除其中任何一个时，它们都会重新出现。它创建的文件将带有不同的日期，而不是当前日期。一个日期可以追溯到 2007 年。因此恢复到另一个日期并没有帮助。病毒保持不变的时间越长，它开始造成的损害就越大。最终，它会导致您的系统不断出现问题，并开始为您隐藏文件夹和回收站 - 并最终使您的整个驱动器崩溃。但这可能需要几天时间。它逐渐起作用。

我所知道的是，我在上一次受到的攻击中尝试了五次重新安装新系统，但仍然遇到了该病毒的问题。

有谁知道这种病毒是什么以及如何从包括外部驱动器在内的所有驱动器中永久删除它？

我在清理电脑时发现了一个名为“DVD maker”的文件夹，我不记得安装它，当然也没有任何用处，所以我想我会卸载它。它没有出现在添加/删除程序中，所以我尝试移动删除它并运行 ccleaner 来完成它，这就是问题出现的时候。

所以显然这是不对的，显然这是某种恶意软件。我有avast！安装了防病毒软件，扫描我的电脑没有结果。我下载并安装了一个名为“文件粉碎机”的程序，我过去曾用它来处理此类问题，但无济于事：

您看到的一串数字是我第一次尝试切碎后“DVD maker”文件夹重命名的内容，每次我尝试删除它时都会这样做，原始文件夹似乎消失/被删除，然后是一个新文件夹出现在一个新的（随机）编号的文件夹中。

我的问题是，如何摆脱“DVD 制造商”？

我的网站是：hints.steptoinstall.com。它是使用 Wordpress 构建的。

我的最新帖子是：PHP – 本年版权，在过去 5 天发布此帖子后，我发现前面的站点包含有害程序问题。

因此，我的流量很低。

我该如何解决这个问题？

但主站点工作正常。安装步骤

这不是第一次发生这种情况。我确实有一台 VMware 机器，但它们都关闭了，而且这种情况不会每天都发生，所以我认为这不是问题所在。这是我能够从中获得的所有信息：

即使我禁用了互联网连接，它仍然处于活动状态。

我有 2 个处于活动状态的防病毒程序，Malwarebytes Premium 和 Avast Premier，但它们没有检测到任何内容。我正在对 Malwarebytes 运行扫描，然后我将尝试 Avast。

即使在移除以太网 2 之后它仍然没有解决问题，所以我重新启动了计算机。我的 Chrome 仍然看起来像图像，所以我检查了网络和共享中心，没有以太网 2。我再次重新启动计算机，终于它工作了，但我仍然怀疑它处于活动状态或什么的。有什么地方我可以检查以找出它是什么以及它来自哪里？

运行 Malwarebytes 威胁扫描后，我得到以下结果：

他们都在 Chrome 中检测到威胁。我的 Chrome 被感染了吗？

是否有任何日志或任何内容可以为我提供有关刚刚发生的事情的更多详细信息？

自过去几天以来，我一直在我的戴尔 Inspiron Windows 10 计算机上目睹一件非常烦人或令人毛骨悚然的事情。有时，在我打开计算机后，它开始播放大约 10 秒长的音乐片段。我不明白这是怎么回事。我确信我没有在我的电脑上安装任何这样的东西（至少是故意的）。需要注意的几点，

1. 有两个这样的音乐片段。它们中的任何一个都会被播放，或者有时它们会被一个一个地播放。

2. 有时剪辑播放 1 次，有时播放 2 或 3 次。

3. 没有固定的时间。有时它会在我的电脑启动 5 分钟后播放，有时 15 分钟。

4. 我已经检查过，我确定不是我的浏览器造成的。事实上，即使我的计算机上没有打开的应用程序，它也会播放。

5. 每次打开电脑时都不会发生这种情况。

是否有可能我的计算机被黑了，或者有某种恶意软件正在执行此操作。我知道这听起来很愚蠢，但它仍然非常令人毛骨悚然，我想知道是什么导致了它。

标题说明了一切...