删除特定种类的恶意软件

0

我需要从计算机中删除一些恶意软件。这是一个木马程序，非常烦人。它阻止访问Google和搜索网站。该特洛伊木马的名称在每行上均已阐明，原因是当我在url中引用该特洛伊木马时似乎会阻止站点

a r t（一些文本弄乱了）e m（更多文本是

首先，它是什么，它做什么？第二，为什么我根本无法访问google或yahoo或任何其他搜索网站？

第三，可以通过McAffee删除吗？它说我扫描时隔离了它

我找到了一个可疑的进程“ c” s“ r” s“ s” .exe，它不会让我终止它，这就是Mcaffee所说的。为什么麦卡菲没有摆脱它？我什至阻止了该程序的互联网访问。

非常感谢，我有点喜欢这样的事情...

这是我的整个主机文件：

127.0.0.1   go.mail.ru
127.0.0.1   nova.rambler.ru
127.0.0.1   google.ad
127.0.0.1   www.google.ad
127.0.0.1   google.ae
127.0.0.1   www.google.ae
127.0.0.1   google.am
127.0.0.1   www.google.am
127.0.0.1   google.com.ar
127.0.0.1   www.google.com.ar
127.0.0.1   google.as
127.0.0.1   www.google.as
127.0.0.1   google.at
127.0.0.1   www.google.at
127.0.0.1   google.com.au
127.0.0.1   www.google.com.au
127.0.0.1   google.az
127.0.0.1   www.google.az
127.0.0.1   google.ba
127.0.0.1   www.google.ba
127.0.0.1   google.be
127.0.0.1   www.google.be
127.0.0.1   google.bg
127.0.0.1   www.google.bg
127.0.0.1   google.bs
127.0.0.1   www.google.bs
127.0.0.1   google.com.by
127.0.0.1   www.google.com.by
127.0.0.1   google.ca
127.0.0.1   www.google.ca
127.0.0.1   google.ch
127.0.0.1   www.google.ch
127.0.0.1   google.cn
127.0.0.1   www.google.cn
127.0.0.1   google.cz
127.0.0.1   www.google.cz
127.0.0.1   google.de
127.0.0.1   www.google.de
127.0.0.1   google.dk
127.0.0.1   www.google.dk
127.0.0.1   google.ee
127.0.0.1   www.google.ee
127.0.0.1   google.es
127.0.0.1   www.google.es
127.0.0.1   google.fi
127.0.0.1   www.google.fi
127.0.0.1   google.fr
127.0.0.1   www.google.fr
127.0.0.1   google.gr
127.0.0.1   www.google.gr
127.0.0.1   google.com.hk
127.0.0.1   www.google.com.hk
127.0.0.1   google.hr
127.0.0.1   www.google.hr
127.0.0.1   google.hu
127.0.0.1   www.google.hu
127.0.0.1   google.ie
127.0.0.1   www.google.ie
127.0.0.1   google.co.il
127.0.0.1   www.google.co.il
127.0.0.1   google.co.in
127.0.0.1   www.google.co.in
127.0.0.1   google.is
127.0.0.1   www.google.is
127.0.0.1   google.it
127.0.0.1   www.google.it
127.0.0.1   google.co.jp
127.0.0.1   www.google.co.jp
127.0.0.1   google.kg
127.0.0.1   www.google.kg
127.0.0.1   google.co.kr
127.0.0.1   www.google.co.kr
127.0.0.1   google.li
127.0.0.1   www.google.li
127.0.0.1   google.lt
127.0.0.1   www.google.lt
127.0.0.1   google.lu
127.0.0.1   www.google.lu
127.0.0.1   google.lv
127.0.0.1   www.google.lv
127.0.0.1   google.md
127.0.0.1   www.google.md
127.0.0.1   google.com.mx
127.0.0.1   www.google.com.mx
127.0.0.1   google.nl
127.0.0.1   www.google.nl
127.0.0.1   google.no
127.0.0.1   www.google.no
127.0.0.1   google.co.nz
127.0.0.1   www.google.co.nz
127.0.0.1   google.com.pe
127.0.0.1   www.google.com.pe
127.0.0.1   google.com.ph
127.0.0.1   www.google.com.ph
127.0.0.1   google.pl
127.0.0.1   www.google.pl
127.0.0.1   google.pt
127.0.0.1   www.google.pt
127.0.0.1   google.ro
127.0.0.1   www.google.ro
127.0.0.1   google.ru
127.0.0.1   www.google.ru
127.0.0.1   google.com.ru
127.0.0.1   www.google.com.ru
127.0.0.1   google.com.sa
127.0.0.1   www.google.com.sa
127.0.0.1   google.se
127.0.0.1   www.google.se
127.0.0.1   google.com.sg
127.0.0.1   www.google.com.sg
127.0.0.1   google.si
127.0.0.1   www.google.si
127.0.0.1   google.sk
127.0.0.1   www.google.sk
127.0.0.1   google.co.th
127.0.0.1   www.google.co.th
127.0.0.1   google.com.tj
127.0.0.1   www.google.com.tj
127.0.0.1   google.tm
127.0.0.1   www.google.tm
127.0.0.1   google.com.tr
127.0.0.1   www.google.com.tr
127.0.0.1   google.com.tw
127.0.0.1   www.google.com.tw
127.0.0.1   google.com.ua
127.0.0.1   www.google.com.ua
127.0.0.1   google.co.uk
127.0.0.1   www.google.co.uk
127.0.0.1   google.co.vi
127.0.0.1   www.google.co.vi
127.0.0.1   google.com
127.0.0.1   www.google.com
127.0.0.1   google.us
127.0.0.1   www.google.us
127.0.0.1   google.com.pl
127.0.0.1   www.google.com.pl
127.0.0.1   google.co.hu
127.0.0.1   www.google.co.hu
127.0.0.1   google.ge
127.0.0.1   www.google.ge
127.0.0.1   google.kz
127.0.0.1   www.google.kz
127.0.0.1   google.co.uz
127.0.0.1   www.google.co.uz
127.0.0.1   bing.com
127.0.0.1   www.bing.com
127.0.0.1   search.yahoo.com
127.0.0.1   ca.search.yahoo.com
127.0.0.1   ar.search.yahoo.com
127.0.0.1   cl.search.yahoo.com
127.0.0.1   co.search.yahoo.com
127.0.0.1   mx.search.yahoo.com
127.0.0.1   espanol.search.yahoo.com
127.0.0.1   qc.search.yahoo.com
127.0.0.1   ve.search.yahoo.com
127.0.0.1   pe.search.yahoo.com
127.0.0.1   at.search.yahoo.com
127.0.0.1   ct.search.yahoo.com
127.0.0.1   dk.search.yahoo.com
127.0.0.1   fi.search.yahoo.com
127.0.0.1   fr.search.yahoo.com
127.0.0.1   de.search.yahoo.com
127.0.0.1   it.search.yahoo.com
127.0.0.1   nl.search.yahoo.com
127.0.0.1   no.search.yahoo.com
127.0.0.1   ru.search.yahoo.com
127.0.0.1   es.search.yahoo.com
127.0.0.1   se.search.yahoo.com
127.0.0.1   ch.search.yahoo.com
127.0.0.1   uk.search.yahoo.com
127.0.0.1   asia.search.yahoo.com
127.0.0.1   au.search.yahoo.com
127.0.0.1   one.cn.yahoo.com
127.0.0.1   hk.search.yahoo.com
127.0.0.1   in.search.yahoo.com
127.0.0.1   id.search.yahoo.com
127.0.0.1   search.yahoo.co.jp
127.0.0.1   kr.search.yahoo.com
127.0.0.1   malaysia.search.yahoo.com
127.0.0.1   nz.search.yahoo.com
127.0.0.1   ph.search.yahoo.com
127.0.0.1   sg.search.yahoo.com
127.0.0.1   tw.search.yahoo.com
127.0.0.1   th.search.yahoo.com
127.0.0.1   vn.search.yahoo.com
127.0.0.1   images.google.com
127.0.0.1   images.google.ca
127.0.0.1   images.google.co.uk
127.0.0.1   news.google.com
127.0.0.1   news.google.ca
127.0.0.1   news.google.co.uk
127.0.0.1   video.google.com
127.0.0.1   video.google.ca
127.0.0.1   video.google.co.uk
127.0.0.1   blogsearch.google.com
127.0.0.1   blogsearch.google.ca
127.0.0.1   blogsearch.google.co.uk
127.0.0.1   searchservice.myspace.com
127.0.0.1   ask.com
127.0.0.1   www.ask.com
127.0.0.1   search.aol.com
127.0.0.1   search.netscape.com
127.0.0.1   yandex.ru
127.0.0.1   www.yandex.ru
127.0.0.1   yandex.ua
127.0.0.1   www.yandex.ua
127.0.0.1   search.about.com
127.0.0.1   www.verizon.net
127.0.0.1   verizon.net

malware-removal

— 气旋
source

2

假设那些“的被打破它，这个过程是客户服务器运行时处理，因为这是至关重要的窗口，你不能杀它的继续生存。

— Phoshi

是将其分解，这就是被感染的文件。谢谢，这是有道理的

— 飓风

好吧，如果我是一名病毒工程师，劫持一个至关重要的过程将是一个不错的开始。系统还原？

— Phoshi

@phoshi我没有文件备份，所以必须不要丢失。这是什么病毒，它有什么作用？

— 飓风

恐怕我不知道它会做什么。拥有所有不是.exe的文件，都应该完全安全地备份，而不必担心可能会被重新感染，但是在您可以验证它们的完整性之前，应将其怀疑。有外接硬盘吗？：/

— Phoshi

3

您可以找到可执行文件吗？如果是这样，请启动进入Linux LiveCD，然后将其从文件系统中放出。如果隐藏的特工躲在附近，它很可能会重新创建自己，因此请获取一份自动运行的副本，并检查背后隐藏的内容。

编辑：并且您检查了主机文件吗？
C：\ WINDOWS \ SYSTEM32 \ DRIVERS \ ETC
这是进行DNS前级别过滤的地方，值得一看。

— Phoshi
source

不，做不到，LiveCD上没有Linux

— Cyclone

每个人都应该有一个Linux liveCD！那你能进入安全模式吗？

— Phoshi

依德克哈哈，那是什么？

— 飓风

我相信您在启动过程中的某个时候点按了F8。我自己是在POST之后不断点击它的；）安全模式基本上不执行任何操作，但需要执行什么操作，因此值得尝试。

— Phoshi

AHA！我的主机文件有很多东西，都指向本地主机

— Cyclone

2

如果不使用多种工具深入检查计算机，我怀疑您将能够完全手动删除恶意软件。如果您甚至错过了一部分，如@ChrisF所提到的，它可能会尝试撤消您删除它的任何尝试。在病毒不仅将自身隐藏在系统文件中，而且还会破坏计算机自身的多个实例以及其他病毒的时代，几乎不可能以任何级别的信心再次手动清洁计算机，使其再次变得安全。

确保病毒消失的唯一方法是格式化硬盘驱动器，然后重新干净安装操作系统。现在，如果您需要获取数据，我将获得USB硬盘驱动器或其他一些外部驱动器以及Ubuntu Live CD（您可以下载ISO并将副本刻录到CD）。

启动至实时CD，然后使用Ubuntu将文件传输到外部USB驱动器。
备份文件后，请重新格式化计算机，然后重新安装操作系统。
计算机完全运行后：
- 安装防病毒软件，
- 禁用CD和USB驱动器的自动运行
插入备份驱动器，并对驱动器进行彻底的病毒扫描，以确保没有数据是病毒的来源。当病毒的源是损坏的pdf，视频，图像，文档或其他文件时，它不会重新映像。
一旦病毒扫描报告您的备份被清除为感染，将文件移回并重新安装应用程序。

祝你好运和狩猎。

— tvanover
source

1

您无法访问Google和其他搜索网站的原因是，该病毒已将所有这些行添加到您的主机文件中。该行：

127.0.0.1 google.com

表示所有对google.com的请求都将重定向回您的计算机，这显然无法为他们服务。

正如Phoshi所说，您应该从hosts文件中删除这些行。但是，我猜想该病毒将在下次启动PC时尝试重新创建它们。通过将文件设置为只读，它将无法再次更新它，并且您可以连接到先前被阻止的网站。

— ChrisF
source

完成，请阅读上面的评论。

— 飓风

0

尝试使用Combofix可以很好地解决此类问题，最好在安全模式下运行它 http://www.combofix.org/download.php

mywot.com/en/scorecard/combofix.org#comment与您链接的站点有病毒

— Cyclone