到目前为止,在本系列中,我们已经向您介绍了一些识别和修复广告软件的方法。我们使用这个图表作为指导。
在这段旅程中,我们接触了一些免费工具,我们用它们来了解我们正在处理的是什么类型的感染,以及广告软件可能隐藏在哪里。我们的目标是让你知道Windows系统有多少不同类型的广告软件。虽然大多数被归类为幼崽,你也会看到偶尔的木马或rootkit..
这是该系列的最后一部分,将为您提供下载位置和工具的描述。一个警告词:尽管所有工具都是免费的个人用途,但这并不能使它们更强大。如果您想使用这些工具来修复问题,请确保您知道您正在做的或在手头上有某种备份,以防任何错误。如果您想了解更多有关删除恶意软件的信息,请有几家网上学校提供免费恶意软件删除培训。
工具
Process Explorer(微软/ Sysinternals的)
地点:https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx
我们使用流程资源管理器标识属于窗口的进程以及识别父/子进程并查看DLL和句柄.一个流程资源管理器简介和一些更高级的信息可以在我们的博客上找到。
资源监控器(微软)
自Windows 7以来内置于Windows。
我们解释了如何使用资源监视器进行检查哪个进程正在连接到位.
文件刺客(Malwareby必威平台APPtes)
地点:https://www.必威平台APPmalwarebytes.com/fileassassin/
File刺客是一个用来删除任何类型的锁定文件.
必威平台APPMalwarebytes抗rootkit beta(malwarebytes)
地点:https://www.必威平台APPmalwarebytes.com/antirootkit/
必威平台APPMalwarebytes anti-rootkit BETA版是您处理难以去除甚至是无形的感染.
FRST(Farbar)
地点:https://www.blepingcomputer.com/download/farbar-recovery-scan-tool/
有32位和64位版本。确保您下载了适合您系统的正确版本。
Farbar Recovery故障诊断仪(FRST)是一种非常有用的诊断工具。它也可以用作手动修复工具,但我想重点阅读它生成的扫描输出,以及我们在寻找广告软件时要关注的部分。因此,除非您已经使用Process Explorer、MBAM、MBAR或File刺客解决了这个问题,否则我们现在来看一下FRST。FRST在正常或安全模式下都能正常工作,当机器出现启动问题时,它甚至可以在Windows恢复环境下工作。
FRST扫描的输出格式很好,可以很容易地检查我们在本系列课程中指出的大多数问题区域。
浏览器部分
它们按已安装的浏览器进行划分,并有一个常规部分。
==================================互联网(白名单)====================
本节包含像格式使用的DNS服务器等信息:
TCPIP \参数:[DHCPNAMESERVER] {IP地址1} {IP地址2}
Tcpip \ . .\Interfaces\{CLSID}: [DhcpNameServer] {IP address 1} {IP address 2}
IE浏览器:
==================
本节具有以格式列出的Internet Explorer的附加组件:
bho:{name} - > {clsid} - > {path + filename} [{install-by-company-name}]
它还列出了其他项目,如Startpage、SearchScope、处理程序、工具栏、过滤器和ActiveX对象
Firefox:
========
本节包含Firefox的扩展格式:
FF扩展名:{name}–{扩展名的文件夹}[{安装日期}][{由公司名称签名}]
和这些格式类型的插件:
FF插件:@{company}/{name}->{path+filename}[{dateofinstall}]({由公司名称签名})
FF插件程序文件/Appdata:{path+filename}[安装日期}]({由公司名称签名})
它还列出了Firefox的其他信息,如主页、默认搜索引擎和user.js文件的存在。
铬合金:
=======
本节包含这些格式的每个Chrome配置文件的扩展:
CHR扩展:({name})–{扩展文件夹的路径}[{安装日期}]
CHR HKLM \ ... \ chrome \扩展:[{extension标识符String}] - [【update_url}]
它还列出了有关主页和政策的信息,可能是活跃的。
歌剧:
=======
本节保存了Opera的扩展,格式如下:
OPR扩展:({name})–{扩展文件夹的路径}[{安装日期}]
它还适用的Startupurls和Startmenuinternet。
加载模块
您可以在该节中找到有关已加载模块的一些信息:
==================== 加载模块(白名单 ) ==============
以格式:
{系统上的日期/时间} - {deat / time创建} - {fileszize} {permissions}(){path到文件} \ {filename +扩展}
注意:它仅列出未签名的文件。即使文件由已知恶意软件发布者签名,也不会列出它们。
计划任务
计划任务在FRST的添加日志中以如下格式标记:
任务:{CLSID}-System32或Windows\Tasks\{jobname}=>{path to the file}{filename}[date](签名)
服务
报告服务及其启动方法以及它们是否正在运行。
r =跑步
S =停止
U =未知
启动类型编号为:
0 =引导
1=系统
2=自动
3 =需求
4 =已禁用
5 =未知
以格式:
{字母}{号码}{服务名称};{文件路径}{字节大小创建日期}{签名人}
LSP劫机者
由于LSP层的顺序存储在Winsock服务提供程序中,所以你可以在第一段日志的Winsock部分中找到LSP条目。
例子:
Winsock:Catalog5 00000000000001 \\ LibraryPath =>成功恢复(%systemroot%\ system32 \ nlaapi.dll)
记住目录号很重要。每当您要删除Winsock:Catalog9条目时,建议使用“netsh Winsock reset”。这是为了避免用户最终导致互联网连接中断。重新启动后,您可能必须重复此操作。
DNS劫持者和代理
在受害者的计算机上,DNS劫持有一些选择:
- 替代或更改的主机文件。如果用户有一个非标准主机文件FRST将报告.TXT:主机中检测到多个条目“。这不一定是坏事。某些安全程序使用主机文件作为块列表。
- DNS服务器列在“其他区域”部分中。这也需要额外的研究,因为大多数DNS服务器是合法的。
- 代理在第一次日志的“Internet”部分列出。
卸载列表
已安装程序和功能列表中列出的程序可以在添加日志的“已安装程序”部分(包括“隐藏”条目)中找到。
广告
备用数据流本身有一个特殊的部分。请注意,此部分和其他许多部分一样,都是白名单。格式如下所示:
AlternateDataStreams:{文件路径}:{流的名称}[字节数]
WMI
使用Windows管理仪器的劫持者可以在添加日志中发现。例子:
wmi_activescripteventconsumer_asec:<=====注意
结论
我真的很喜欢和大家分享我多年来收集的一些知识,我也很高兴我现在有了一个相对有条理的方式。我希望读者们也觉得它有用。或者至少是娱乐性的。请在评论中告诉我们。
指数
- 识别过程
- 清除浏览器缓存
- 删除浏览器扩展
- 代理
- Winsock劫机者
- DNS劫持者
- 软件类型
- 卸载
- 删除文件
- 替换文件
- 计划任务
- 服务
- DLL
- 处理
- 父流程
- 广告
- rootkit
- 无用的感染
第7部分
- 调查工具
注释