当防病毒扫描程序没有发现任何恶意软件时，如何确定您没有病毒？（Windows 7的）

16

我最近花了很多时间对无法连接到互联网的笔记本电脑进行故障排除。这款笔记本电脑没有表现出其他不自然的行为，所以我的第一个想法是尝试连接到其他网络，尝试一种新的网卡，等...我张贴的问题可以发现这里有更多的细节。我要做的第一件事就是使用MalwareBytes，eSet和Panda Cloud Antivirus检查病毒...所有3个扫描都是分别运行并且彼此独立进行的，没有发现病毒。然后，我继续花费数小时进行故障排除，最后，我将计算机带到了一家修理厂，发现那里有病毒。

我的问题不是主观的，我不是在问什么是最好的反病毒软件。我问我如何才能确定当流行且通常有效的反病毒扫描检测不到任何东西时，我是否没有病毒？

过去，我的日常工作是遍历正在运行的进程和启动程序的列表，并使用在线资源尝试查找任何恶意软件。面对所有这些防病毒程序，此例程对我来说似乎比较愚蠢，我认为运行扫描比手动查看要有效。

显然，IT公司拥有一些有效的病毒识别方法，我怀疑这些公司是否正在运行某些病毒扫描程序。显然，经验会使我确定自己的问题是病毒，但我觉得未检测到的病毒可以通过多种方式表现出来，因此我不想仅依靠经验。

编辑：

我应该澄清一下。我并不一定要寻找一些“最终的”检查清单来识别病毒，但很显然，当我们的常规防病毒扫描失败时，有一些方法可以识别它们，而且我想知道其中的某些方法是什么。

— 乔纳森
source

“我认为运行扫描比手动查看会更有效。” =>完全错误的，人为的（具有足够的经验和良好的培训）是比当今任何软件解决方案都有效的病毒检测/清除系统。软件无法击败IT人员的启发式扫描。

— Sampo Sarrala-codidact.org 2012年

1

如果您对系统的安全性有疑问，唯一真正的解决方案是格式化系统。这些计算机维修店发现了什么病毒，有这种讨厌的习惯，即发现实际上不存在的东西。发布证明您感染了病毒的日志文件，如果他们无法提供该文件，我将要求您退款。如果他们声称删除了它，请索回您的钱，因为那意味着他们实际上从未发现任何东西。

— 拉姆猎犬，2012年

当涉及到防病毒软件时，您（一定程度上）获得了所要支付的费用。在列出的三个软件包中，只有eSet显然是完全商业化的AV产品，如果您使用“免费试用”，则可能会得到残缺的版本。（我的印象是，笔记本电脑上一开始就没有AV产品，只在牛离开后才试图关闭农业门户。）

— Daniel R Hicks

尝试ComboFix，它是一个很好的恶意软件检测程序。

— 2012年

碰巧有Mcafee吗？我花了4个小时对一个类似的问题进行故障排除，结果发现Mcafee发送了一个错误的补丁程序，这使得无法进行联网。

— 菲利普·R。

13

没有杀毒软件包是完美的。我看到了提交给http://virusscan.jotti.org/en的病毒，只有2个或3个软件包可以检测到它们。我也有一种病毒，据报告所有人都干净。

因此，如果我需要清洁/扫描计算机以查找病毒，这就是我要做的一些事情。

初步检查

检查并可能删除temp文件夹中的文件以及临时Internet文件。如果有成千上万个文件或更多，删除这些文件可以大大减少执行完整扫描所需的时间。但是，这样做有可能在被识别之前删除存储在这些位置的病毒。

阶段1

引导干净的CD / DVD，例如Bart CD或特殊的AntiVirus CD

使用几种不同的防病毒，防恶意软件和rootkit程序运行扫描
配置资源管理器以显示隐藏的文件和文件夹，并查找最近添加到根文件夹，Windows，Windows \ System32和Program文件夹中的文件。还要在那些地方查找隐藏的文件和/或文件夹。此类文件的存在并不一定意味着有问题，但我通常会尝试识别它们以确保它们是合法的）

第二阶段

正常启动操作系统

使用几种不同的防病毒，防恶意软件和rootkit程序运行扫描
运行诸如Autoruns和Hijackthis之类的程序，这些程序会显示自动启动的所有内容或挂在Windows中的内容（例如Windows的附件）。这些程序都不会尝试确定什么是好是坏，但是它们会为您提供信息，并且由您决定条目是否有效。
运行TaskManager或Process Explorer来查看正在运行的进程。
查看“添加/删除程序”，查看已重新安装了哪种程序并删除了所有垃圾邮件。不想提及任何名称，但是有一些工具栏，扑克游戏和一些文件共享程序似乎总是导致程序的出现，并且计算机的用户/所有者常常没有故意安装它们。（例如，与其他程序捆绑在一起的工具栏）

第三阶段 （时间允许）

重新启动进入Windows并连接到互联网并离开一会儿，然后重复执行阶段1以确保机器仍然干净。

阶段4

保持手指交叉和/或祈祷机器清洁。

— sgmoore
source

我给您答案，因为您在这里提供了一个很好的例程，我认为它将非常有效。下次我遇到未检测到的病毒时，我将执行这些步骤，然后再使用killdisking / reformatting。

— JonathonG

我有一个干净的映像（包含应用程序和更新），可以每年还原一次，因此即使有偷偷摸摸的东西进入我的系统，它最终还是会被清除掉。

— 奥斯丁的“危险”力量

5

当反病毒扫描程序什么都找不到时，如何确定您没有病毒

你不能

但是，如果要确保病毒不会引起Internet访问问题，只需从实时CD或USB启动即可。如果那不能访问Internet，则可能是硬件问题。最好在另一个干净的系统上创建一个。

— 红砂砖
source

我知道您不能100％确定，但是必须有比仅运行主流反病毒扫描程序更好的方法，这对我似乎从来没有100％有效。关于您的建议，我通常会通过干净的便携式媒体（通常是Ubuntu）启动到其他操作系统。在这种特殊情况下，我没有这个选择。此外，如果一个干净的OS确实能够成功访问Internet，这仅告诉我，我可以期望寻找我的常规OS /文件/驱动程序存在的问题，而不一定是如何找到该问题的（无论是病毒与否。）

— JonathonG

@JonathonG：我不同意您的信念。IT公司使用商业AV。唯一的其他技术是使用干净的实时CD生成的校验和，每天（例如）与存储在从未从易损CD引导时从未连接到易受攻击的系统的介质上的校验和进行比较。这是一篇古老而有趣的文章，不会直接帮助您:-)

— RedGrittyBrick 2012年

谢谢。我知道“商业影音”解决方案将不同于eSet的免费扫描。但是，我仍然想知道为什么3个单独的，经过完全更新的病毒扫描程序都无法找到一个恶意文件，而IT公司的病毒扫描程序却毫无问题地找到了它。

— JonathonG

@JonathonG：我们只能推测：也许他们运行了不同的AV并很幸运。也许他们将AV配置为运行最严格的检查（因此是普通用户无法接受的最耗时和CPU密集的测试）。

— RedGrittyBrick 2012年

0

我不是恶意软件分析师，但我将与您分享我的一点知识。我的两分钱-

寻找类似的东西-启动中的奇怪文件，Windows文件夹以及可用硬盘空间的巨大波动。有时，恶意软件文件名类似于Windows OS文件名，如％svchost％.exe或％Splwow64％.exe等。此外，在任务管理器中查找“怪异”进程。

您无法确定AV甚至能够检测到1年前编写和检测到的恶意软件。怎么样？如果此恶意软件正确加密，则将变得不可检测。可以从非法的在线市场购买加密器。这是一个宣传具有许多功能的加密器的视频。但是，不知道在制作恶意软件FUD方面有多有效。

http://www.youtube.com/watch?v=wlaO7flygKQ

另外，考虑成为bleepingcomputer.com的成员。恕我直言，这是一个提出此类问题并阅读免费教程的好地方，以保护家用计算机和反恶意软件策略。

高温超导

— 蒸汽
source

-3

对于合格的程序员制作的任何病毒，仅提及的还不够，幸运的是，大多数病毒是由15岁的人使用Visual Basic制作的。那不是在开玩笑，这是事实，但这是更多信息。

因为微软是如此“伟大”，NTFS可以隐藏文件，所以它被称为备用数据流，尽管资源管理器或命令行都看不到，但是某些防病毒软件甚至不扫描它，所以是错误的。

确保您使用的是Windows 8或更高版本，在此之前只有几行代码那么容易，并且可以在进程列表中隐藏一个进程，因此有些“软件”早已过期，因此可以“防止”直接内核对象操作。

大多数病毒都是专门为Windows制作的，但是Windows在许多方面（例如内存保护）确实具有更好的安全性。

抵御病毒的最佳防御方法是知识，培训人员并使其遵循安全规则，例如，不要下载不受信任的公司提供的内容。

— 亚伦
source

感谢您的答复，我知道这个问题有点荒谬。我现在使用的是Windows 10，但为满足我的所有开发需求而转向Linux。

— JonathonG

我更新了帖子，并改变了一些误解。

— 亚伦

1

从虚构的统计数据开始（大多数病毒是由具有VB的青少年制作的）。继续使用随机垃圾（“很棒的” NTFS，替代数据流）。完成不需要的信息（大多数病毒是针对Windows的）。所有这些都不能回答以下问题：尽管扫描仪让我完全明白了，我如何确定我没有病毒？“最好的防御是知识” ...这就是这里显然没有提供的问题……

— WernerCD 2016年