Разыскивание Выполнения Данных
У меня есть некоторое вредоносное программное обеспечение, заражающее одну из наших машин дома. Это сначала обнаружилось как winulty.exe. После исследования я имею мнение, что winulty.exe само является незараженным файлом, но изменяется после того, как оно загрузилось в память. Включение Предотвращения Выполнения Данных для всех процессов и услуг подтвердило это, чтобы быть верным.
Как я разыскиваю процесс, ответственный за это? Я использовал Монитор Файла из sysinternals.com, чтобы контролировать winulty.exe и видеть, что это получено доступ экземпляром svchost.exe, размещающим большинство системных служб и также dfrgntfs.exe. Как я знаю, какой сервис или который был заражен DLL?
5 ответов
Самый легкий путь состоит в том, чтобы просто выполнить антивирусное сканирование; Вы не можете действительно знать, сколько файлов было заражено настолько удаляющие их, сами могло бы быть проблематичным. Это должно взять и изолировать все зараженные файлы.
Можно найти довольно много хорошего бесплатного антивирусного применения, такого как Основы Защиты Microsoft или стой!
winulty не обнаруживается осведомленным о рекламе, spybot, AVG. Лучший способ избавиться от него с троянским детектором, таким как Троянский Съемник, который позволяет Вам тест-драйв это в течение 30 дней. Я встретился с этим вирусом на этой неделе и в октябре прошлого года, и моя жена добралась на одной прошлой неделе, и я нашел другого на ее машине сегодня.
Альтернатива установке нескольких антивирусов онлайн сканирование.
Некоторые, что мне нравится, являются Посещением на дому Trend Micro, Kaspersky Labs Free Virus Scan и Panda. Обратите внимание на то, что каждый занимает несколько часов для завершения и что они могли бы потребовать, чтобы Вы использовали Internet Explorer в качестве своего браузера
Также некоторые сканирования программного обеспечения антирекламного программного обеспечения были бы полезны, такой как осведомленные о рекламе и spybot.
Вы являетесь лучшими, чтобы использовать загрузочный CD AV, начальную загрузку от него и просканировать диск, в то время как ОС в режиме офлайн, затем используйте MBAM или другой сканер после начальной загрузки назад в окна для окончания очистки.
Загрузочный CD AV http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
MBAM http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
.
Вы уверены, что это - корректный экземпляр SVCHOST.EXE? Как Вы определяли его? Какая версия Windows - это?
Повторите то, что Вы сделали прежде, но на этот раз, посмотрите на PID экземпляра SVCHOST.EXE это записало в WINULTY.EXEпамять, затем запущенный Проводник Процесса — также от Sysinternals — (удостоверяются, что выполнили его как администратора), и дважды щелкает по экземпляру SVCHOST.EXE это имеет PID, который Вы отметили. Теперь посмотрите на вкладке Services для наблюдения, какие сервисы, которые размещает экземпляр. Надо надеяться, не будет слишком многих сервисов (идеально всего один) в том экземпляре. В зависимости от того, какие сервисы размещаются им, можно попытаться остановить их, чтобы видеть, продолжается ли это. Если WINULTY.EXE только заражен после начальной загрузки, с другой стороны, в зависимости от того, какие сервисы размещаются (можно отправить их в комментарии для совета или обратиться к руководствам Черной Гадюки), можно попытаться отключить их, чтобы видеть, продолжается ли это после перезагрузки.