标签: malware

它是恶意软件吗？计算机已被诊断出感染了某些病毒。我试过在这里查看，但还没有找到任何有关它的信息。

我一直在这里（以超级用户）阅读有关 Windows 中防病毒软件必要性的一些问题，并且出现了一些疑问。

据我所知（和想象）病毒软件只有在我下载任何类型的受感染可执行文件然后运行它时才会有害。我的意思是，如果我的桌面上有受感染的可执行文件，但我将它留在那里多年而不点击它，我就不会处于危险之中......

我的问题是：我怎么会在浏览所谓的“恶意软件页面或网站”时处于危险之中？.

如果我只是浏览一个“受感染的网站”，我怎么会受到病毒的影响。浏览器在任何时候都要求我下载“某物”的许可，那怎么可能？虽然我没有允许浏览器下载“某些东西”，但数据是否正在下载到我的电脑？？它的某种饼干？

我换个方式问一下……如果我在恶意软件站点中被感染，与可执行病毒的级别相比，风险级别是多少？

首先，我不喜欢 HTML 和 PHP 编程。

一个朋友的 Joomla 网站被某种 html 注入攻击了，现在每个 php 和 html 文件都有一个 iframe，它链接到某种恶意软件页面。现在我想将受感染的文件从服务器复制到我的机器并“清理”它们。这是愚蠢和危险的吗？

每次我回家（一年只有两次），我都会发现我的年轻（十几岁）妹妹已经设法给她的电脑“病毒”了。几乎不可避免地，这不是真正的病毒，而是恶意浏览器扩展广告软件。他们有弹出窗口，并更改搜索提供程序和主页。

最近是ShopperPro，我相信这些主要是通过她安装的免费软件来安装的，这些软件捆绑了“免费”附加功能。并将它们安装为安装程序的一部分。类似于 IE6 常见的免费工具栏瘟疫（仍然是？）。

有没有一种方法可以用来阻止浏览器扩展的安装？我姐姐不是一个技术娴熟的人，她从来没有故意使用浏览器扩展程序，而且可能永远不会。

我宁愿不在她自己的电脑上给她一个受限制的帐户。我不想当她的全职系统管理员，只是为了减少我访问时的工作。可能存在安装所有其他扩展的扩展，最初设置为禁用？

我目前的想法是将 Chrome（安全模式）重命名为 Chrome，以便她只能在安全模式下启动它，但我自己不是 chrome 用户我不知道这是否会有其他副作用。

我得到这个弹出窗口：

它看起来相当可疑，因为它指的是“网络浏览器”而不是特定产品，并且不提供任何其他详细信息或识别信息。

我试图弄清楚它可能会做什么卑鄙的行为，我所能想到的就是它可以以某种方式叠加在 Windows 安全授权请求上（尽管我不知道人们会怎么做）。

补充：我在崩溃后重新启动的后期阶段得到了这个（一些微软的谜团）。据我所知，系统崩溃时没有浏览器处于活动状态，而且我没有任何设置可以在启动时自动启动。

我还要补充一点，我在消息出现时检查了 Process Explorer，但没有看到 Mozilla（我常用的浏览器）的迹象。我忘记了可能显示了什么（如果有）任务栏名称，但它没有用。

我尝试对框进行 X-ing，但这被忽略了，所以我单击了一次“否”。窗户消失了，然后向左和更高处弹出了大约一英寸。再次单击“否”，它就消失了。

在糟糕的网页上使用浏览器时，我看到过类似的屏幕，但据我所知，它总是识别浏览器，并且网页/脚本从上下文中很明显。

我发现了一个我无法删除的流氓扩展程序（可能是恶意软件？），因为删除图标变灰，并且扩展程序显示“由企业策略安装”。

我试过运行 Spybot Search and Destory、Malwarebytes Anit-Malware、ADWCleaner 和 HitmanPro - 这些都没有删除它。

我还查看了控制面板中的程序列表，但没有与此扩展程序相关的内容。

扩展被标记为“YTNoAeds”。

我还卸载了 Chrome 并清除了 User-Data（在 AppData 内）中的 Extension 文件夹。

有人有任何想法吗？

让我们考虑这个场景：

• 有一些从互联网上下载的 X 软件，包含一个 .exe 文件和几个 .dll 文件。
• 使用 Windows 防火墙阻止 .exe 文件访问 Internet。
• 该程序的 .dll 文件之一被恶意软件感染。

通过阻止 .exe 文件，它从 .dll 文件调用的可执行代码是否也被阻止了？或者我应该手动阻止每个看起来具有可执行内容的文件？更一般地说，Windows 防火墙在这些情况下如何工作？

谢谢！

当我启动我的桌面时，它给我一个关于 BackgroundContainer.dll 的错误

启动 c:\Users\Ventsislav\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll 时出现问题

指定的模块无法找到。

我该如何摆脱它？

我在我支持的某些系统中看到了一个奇怪的异常。

GMER 在 csrss.exe 中标记 cdd.dll 线程，当我使用提升的管理员权限运行进程资源管理器时，我是：

1. 无法在任一 csrss.exe 进程中查看任何加载的 DLL
2. 无法查看实际的线程起始地址（而不是 winsrv.DLL 和 CSRSRV.dll，我看到的是 0x0 或 !RtlUserThreadStart
3. 无法查看任何 csrss.exe 线程的堆栈
4. 无法挂起或终止 csrss.exe 中的任何线程
5. 内存中的字符串显示“错误打开过程”

根据 Windows Internals 的第 6 版，当尝试查看“受保护进程”的线程时，这就是进程资源管理器中会看到的内容......

...进程资源管理器无法显示 Win32 线程起始地址，而是显示 Ntdll.dll 中的标准线程起始包装器。如果您尝试单击 Stack 按钮，您将收到错误消息，因为 Process Explorer 需要读取受保护进程内的虚拟内存，而它不能这样做。

但是，csrss.exe 不是受保护的进程。此外，即使是，通常仍然可以暂停“受保护的进程”，这在这种情况下是不可能的。

作为参考，这就是它通常在 Process Explorer 中的样子……取自新安装的系统。

我运行的其他工具都没有检测到任何恶意内容。但是，Process Hacker 能够访问这些线程，它们看起来就像我希望看到的那样......

我知道的两件事，我认为：

1. 这是异常行为（我查看的大多数其他系统都授予 Elevated Admin 对 csrss.exe 线程、字符串等的完全访问权限）
2. 这似乎与类似 rootkit 的隐藏行为一致。根据“Malware Analyst's Cookbook”一书中的引述：

如果 Rootkit 找到了一种可靠的方法来隐藏或阻止对 csrss.exe 的访问，而不会导致系统不稳定，那么这可能会导致问题。事实上，CsrWalker 的作者发现，一些黑客试图通过挂钩 ZwOpenProcess 和阻止检测工具读取 csrss.exe 的内存来阻止 CsrWalker 工作。

谁能解释为什么管理员运行具有提升权限的 PE 会看到这些异常，而不是未知的 rootkit？

有时我会收到非常可疑的消息，或者我在某个地方看到一个随机链接，我显然没有点击它们，但我仍然很好奇该网站上有什么。因此，这让我想知道查看该网站的最安全方法是什么，同时确保即使它包含病毒我的计算机也不会被感染？如果网站被感染的可能性很高，我个人不太信任防病毒软件。

也许在点击链接之前禁用 javascript？这能解决问题吗？但这很可能会扰乱网页本身。

基本上我的问题是：如何安全地打开我知道是恶意的链接？