标签: malware

几个星期以来，当我早上坐下来在工作中解锁我的 PC 时，我看到一个记事本窗口，抱怨它“找不到 c:\oracle.message.txt”。这非常令人不安 - 我以为我感染了一些恶意软件，但 Microsoft Security Essentials 和 AVG 都没有发现任何东西。Process Explorer 显示记事本是从 svchost.exe 中生成的，并且 svchost 已“验证”（即，Process Explorer 检查了其数字签名并发现它是合法的）。svchost 的特定实例承载了许多在屏幕截图中可见的服务，但似乎没有一个是“可疑的”——而且它们都与 Oracle 没有任何关系。最重要的是，我的机器从来没有安装过 Oracle - 我能找到的唯一相关的东西是 Oracle ODBC 驱动程序......

我能做些什么来调试/跟踪这个？

我是一名专业开发人员已有二十年了，所以请随时提出复杂的解决方案，如有必要，包括 SoftICE 硬件断点 :-)

今天早上我坐在我的电脑前，无法使用 Firefox 访问任何网站。FF 告诉我“Firefox 配置为使用拒绝连接的代理服务器。” 所以我检查了我的设置，果然，它被设置为“使用系统代理设置”。认为这很可疑，我检查了 IE，果然它设置为使用代理。但就像 FF 一样，在我将选项设置为“无代理”之前，我实际上无法浏览任何网站。

现在我不使用代理，以前从未使用过。所以我不确定这些设置是如何“神奇地”出现的。我想它们可以通过注册表项进行设置。我是否有可能感染了病毒或某种恶意软件？我正在运行 Win7 64 位，对于 AV，我使用的是 MS Security Essentials。我运行了 Malwarebyte 的反恶意软件，但没有检测到任何问题。是否有任何已知的合法程序会在没有警告的情况下更改代理设置？

如果没有检测到恶意软件警告，我无法在 Google Chrome 6.0.472.63 上访问http://www.opengl.org

警告：访问此站点可能会损害您的计算机！

位于www.opengl.org的网站 似乎托管了恶意软件 - 可能会损害您的计算机或未经您同意而以其他方式运行的软件。只需访问一个承载恶意软件的站点就可以感染您的计算机。有关此站点问题的详细信息，请访问 www.opengl.org 的 Google 安全浏览诊断页面。www.opengl.org 的诊断页面。

这会扼杀生产力，就我而言，我不会PlayThisEpicGame.EXE很快下载任何文件。

为了增加欢乐，加载新标签也被搞砸了！哈哈

有没有其他人在 OpenGL 网站上遇到过这种情况，或者我的 Chrome 有点醉了？是否有白名单，我可以输入我不希望出现此警告的网站。我不想为了让我的 GL 启用而禁用恶意软件阻止。

扩展：

• 广告块
• 饲料
• 幻灯片
• 平滑滚动
• 快速拨号

在 Windows 7 32 位上，更新了 Avast！影音。

我即将下载一些 OSS 软件，我想确保（以合理的确定性）它没有被篡改以插入恶意软件。具体来说，它是一个密码管理器（KeePassX），它似乎是一个非常多汁的黑客目标，所以我感觉特别偏执。

我能想到的恶意软件插入的两个向量是：

• 恶意软件进入官方源代码。
• 恶意分叉或构建被替换为网站上的官方分叉或构建。

该下载页面确实提供校验; 然而，这似乎并不能防止上述两种黑客攻击。

我没有专业知识或时间进行源代码审计。

检查恶意软件敏感性质的开源软件的最佳做法是什么？

昨天我访问了一些网站，显然是通过一些 Flash 漏洞感染了。Microsoft Security Essentials 立即启动，并显示有关四个项目的警告：

> Trojan:Win64/Sirefef.B 
> DDoS:Win32/Fareit.gen!A 
> Rogue:Win32/FakeRean
> PWS:Win32/Karagany.A

我删除了它们，并认为 Security Essentials 在它造成任何伤害之前就已经感染了它。但是今天发现Windows防火墙服务彻底消失了，无法访问控制面板中的防火墙，“基本过滤引擎”服务被标记为禁用。查看进程资源管理器，没有看到任何可疑的东西。额外的防病毒扫描没有发现任何问题。

问题：

• 我怎样才能让我的防火墙恢复正常？
• 这些病毒还会破坏什么，以便我可以检查我是否受到影响？

我知道最好的做法是重新安装 Windows 或从备份中恢复。我想知道是否还有其他选择...

我在历史上是一个 Linux 人，只有在我绝对必须通过 VM 时才使用 Windows。但是，我最近购买了一台新设备，这样我就可以保留一台专用的 Windows 7 机器来进行艰苦的工作（咳嗽、游戏、咳嗽）以及无法在 Linux 上运行的软件。

我有点紧张。我在加固 Linux 系统方面非常熟练，但在 Windows 方面我是一条鱼。我已经安装了 Microsoft Security Essentials 并启用了 Windows 防火墙，但我仍然觉得这还不够（在我将我的妻子从 Windows Vista 切换到 Linux 之前，我看到一些病毒通过了 Security Essentials。当然，她可能通过以下方式帮助了他们...她很快就会点击东西）。

除了切断网线之外，偏执的用户应该采取哪些步骤来使他的 Windows 7 设置尽可能安全？

我有一个朋友在他的公寓里用他的笔记本电脑抓住了他的房东（后来他搬走了）。下次他尝试登录时，他的密码被更改了。我解决了密码问题，但我开始思考，如果他的房东安装了某种间谍软件（键盘记录、互联网监控、远程查看网络摄像头等）怎么办？

所以我的问题是，如果我使用离线（卡巴斯基救援磁盘 10）或在线恶意软件扫描程序（Malwarebytes）扫描 PC，它们会检测到间谍软件吗？我的印象是有合法的间谍工具用于监视孩子或欺骗配偶计算机，反恶意软件供应商可能会免费提供这些工具。是否存在任何此类间谍软件可以通过防病毒扫描？还是所有间谍软件都被视为恶意软件并被恶意软件扫描程序捕获？

我发现了一些我怀疑是恶意软件/附加软件的东西。我访问的每个网站都添加了脚本，即使是我自己制作的。这是在 : 中添加的，http://puu.sh/dgIF0/0c452eb390.png 而 iFrame 在正文 ( http://puu.sh/dgJf3/c700693208.png)中创建。我检查了其中的一些，按照链接并注意到它收集元数据并将其上传到互联网。（一段代码：http://puu.sh/dgIJE/3c53d5b1cc.png使用此代码也有错误）。我在互联网上找不到很多关于 Best-Deal-Products 的（有用的）信息，（因此这条消息）。此外，当我使用 Internet Explore 或 Google chrome 便携版（而不是“普通”Google chrome）时，它又出现了。作为 JunkwareRemovalTool 的程序没有解决问题（如果它确实是一个问题）。关于我的系统：我使用 advast！（免费），我有一个 windows8 64 位操作系统，还有 Lenova 的东西。从我的电脑打开 html 文件时不会出现这个问题，只有来自 Internet 的 html 文件。此外，我使用的网络似乎并不重要。我制作了一个空白的 php 文件并将其上传到 000webhost。查看源代码时，头脑中只有这个：<script src="https://www.best-deals-products.com/ws/sf_main.jsp?dlsource=hdrykzc"></script> 但是当使用“检查元素”时，会显示很多不是我的代码（在 000webhost 代码旁边），这些元素在附件中。以下内容也在附件中：在标签中找到的 Best-Deal-Products 的 URL 和访问 google.nl 时来自 google chrome 的控制台日志

我的主要问题是：什么是最优惠的产品？它有什么作用？对我有什么负面影响吗？如果是，我该怎么办？我希望我提供了足够的信息，但以防万一；问，我会尝试找到它（或 TeamViewer 会话？）我还请求了 avast 的帮助！和病毒总数。

依恋：

标签中的链接

https://www.best-deals-products.com/ws/sf_preloader.jsp?dlsource=hdrykzc&ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/sf_code.jsp?dlsource=hdrykzc&ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/slideup2/main.js?ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/side_slider/main.js?ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/js/base_single_icon.js?ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/css/main.css?v=2014.12.4.3.1

标签中的链接：

https://www.best-deals-products.com/ws/userData.jsp?dlsource=hdrykzc&userid=&ver=2014.12.4.3.1
https://www.best-deals-products.com/ws/co/register_server_layer.html?version=2014.12.4.3.1

访问 google.nl 时从 google chrome 登录

Resource interpreted as Script but transferred …

我的文件中大约 90% 的文件，包括*.doc, *.jpg，被转换为*.micro!

剩下两个文件：

• help_recover_instructions+iyf.html
• help_recover_instructions+iyf.txt

这些文件说：

*你的文件怎么了？
您的所有文件都受到 RSA-4096 强加密的保护。可以在此处找到有关加密 RSA-4096 的更多信息：http : //en.wikipedia.org/wiki/RSA_(cryptosystem)

这是什么意思？
这意味着您文件中的结构和数据已不可撤销地更改，您将无法使用、阅读或查看它们，这与永远丢失它们是一样的，但在我们的帮助下，您可以恢复它们.

这怎么发生的？
特别是对于您，在我们的服务器上生成了秘密密钥对 RSA-4096 – 公共和私有。您的所有文件都使用公钥加密，该公钥已通过 Internet 传输到您的计算机。只有在我们的秘密服务器上的私钥和解密程序的帮助下才能解密您的文件！！！

我该怎么办？
唉，如果你在规定的时间内没有采取必要的措施，那么获得私钥的条件就会改变。如果您确实需要您的数据，那么我们建议您不要浪费宝贵的时间寻找其他解决方案，因为它们不存在。

有谁知道发生了什么？

什么是gen_204？

我今天早些时候看到它正在下载，只是为了在我的下载中找到它的另一个副本并删除了两者。刚刚又下载了。这是一个没有扩展名的小文件。我搜索了谷歌并找到了一些关于 Chrome 错误的内容，但没有任何具体或当前与此相关的内容。

它在浏览互联网时偶尔会下载。我第一次看到它弹出是在 Facebook 上，而另一次是在我的 ETrade 帐户中。我看到它出现在我的浏览器窗口底部，没有扩展名。我正在运行 OSX Sierra。

（如果你知道它是什么并想改进标签，请随意，或者如果我发现它是什么我会自己更新它们。不确定如何以有用的方式标记这个问题）