本文介绍在您的防病毒产品未检测到感染时,可帮助您查找可疑文件的过程和位置。
可能的症状包括:
- 可疑的计算机行为,例如高 CPU 使用率在无法识别的进程上
- 网络流量或带宽使用率明显增加
- 已添加新服务或已删除现有服务
- 无法访问网络资源,例如共享驱动器
- 应用程序停止运行或无法访问文件
- 添加了意外的注册表项
- Internet Explorer 主页未经允许即已更改
重要说明: 由于恶意软件和其他威胁的种类繁多,我们无法提供所有可能的感染症状的列表。如果您怀疑系统已感染,但未列出特定症状,则仍会采取所有可用的预防措施。请确保您的 DAT 文件是最新的,并对您的系统运行按需扫描或命令。行扫描。如果未检测到感染,请按照本文中的步骤收集可疑的文件示例,并将其提交给 Trellix Labs。
本文包含对某些第三方工具的参考。有关使用它们的说明,我们建议您使用第三方产品的帮助文件。
内容:
单击以展开您要查看的部分:
确保您使用的是最新的 DAT 和引擎文件
- 从安全/Security 更新网站下载当前的 DAT 和引擎:
- 获取最新的安全更新:
如果您的自动更新失败,或者在受感染的系统上使用额外 .DAT ,则可能需要下载这些文件。
- 单击 " DAT " 选项卡下载最新的 DAT。文件格式表示 DAT 版本 dat-####.zip ,其中 #### 是 DAT 版本。
- 单击 " 引擎 " 选项卡以下载最新引擎。
- 检查版本列以确定当前已发布的引擎版本。
确保您使用的是最新的可用产品更新或修补程序
- 使用 适用于您的产品的受支持平台文章来确定最新更新和修补程序级别。
- 确定安装了哪个更新或修补程序。确定产品不同于产品的方式,但典型的方法包括:
- 右键单击通知区域中的产品图标,然后选择 关于。
- 打开产品控制台并选择 帮助、 关于。
- 某些产品需要控制台命令。来确定是否已安装更新。请参阅相关产品文档。
- 下载并安装最新的产品更新。删除病毒可能需要结合使用产品更新、DAT 和引擎更新。
- 获取最新的修补程序。
创建修正程序是为了解决特定问题,修正程序不会公开发布,但您可以联系技术支持来获取。
- 如果您是注册用户,请键入您的用户 ID 和密码,然后单击 " 登录"。
- 如果您不是注册用户,请单击 " 注册 " 并填写相应的字段,以通过电子邮件将您的密码和说明发送给您。
安装 Microsoft 安全更新
安装 最新的 Microsoft 安全/Security 更新 ,以防止攻击安全漏洞。确保下载并安装了最新的更新和修补程序。您可以将 Windows 配置为自动执行这些操作。
配置要扫描的产品
验证您是否已将按访问和按需扫描程序配置为:
确认您已启用以下选项:
注意: 其中一些选项仅在 VirusScan Enterprise 中提供。有关详细信息和说明,请参阅产品的产品手册。
使用所有扫描设置运行按需扫描启用
对 "主要操作" 设置为 "清理" 的所有文件执行完整按需扫描。有关如何配置按需扫描的详细信息,请参阅产品的产品手册。有关 VirusScan Enterprise,请单击 启动,
程序,
McAfee,
按需扫描,
启动。
使用最新的测试版 DAT 文件运行扫描 .exe
如果按需扫描和标准 DAT 文件未检测到感染,则可能会在测试版 DAT 文件中检测到其他签名。
- 下载 测试版 DAT 文件。
- 应用测试版 DAT 文件:
- 自动(使用最新的 SuperDAT 文件可执行文件):
- 启动 avvwin_xdatbeta.exe 在受感染的计算机上。该可执行文件会更新使用 DAT 文件的所有产品。
- 更新完成后,根据产品运行所有驱动器或数据库上的按需扫描。
- 手动(使用最新的 DAT 文件):
要手动更新产品的 DAT 文件,请参阅相关文章以获取相关说明。
如果按需扫描仍无法检测到任何威胁:
- 在 Windows 配置文件中搜索任何可疑条目。
- 在 "启动程序" 组中搜索您不识别的任何项目或应用程序。
- 检查常见的注册表位置是否存在可疑条目。
- 使用 Windows 资源管理器检查公共目录位置中的恶意文件。
- 检查 Windows 计划程序中是否存在您无法识别的条目。
- 使用其他 Trellix 和第三方工具来发现恶意活动。
查找可疑文件
启动文件夹和注册表位置最有可能包含可疑条目。检查以下位置。
注意:: 本文包含有关打开或修改注册表的信息。
系统配置文件:
- Win.ini
此文件由早期版本的 Windows 使用,并在系统启动期间使用。在 Windows 7 及更高版本中,存储在此文件中的详细信息现在会放在注册表中。
- System.ini
此文件是一个主要与 Windows 的早期版本一起使用的 Windows 初始化文件。但是,在 Windows 的后续版本中,仍会使用此 INI 文件来向后兼容。
- Autoexec.bat
此文件在系统启动期间使用,并在 Windows 的更高版本上保留,以保证向后兼容性。它存储在系统驱动器的 root 上。此批处理文件在启动时执行命令。
- Config.sys
此文件是旧版 Windows ASCII 文本文件,其中包含可使用 msconfig 访问的配置指令。
- 按 Windows + R,键入 msconfig , 然后按 Enter。
- 检查该 启动项目 选项卡。
- 检查该 win.ini 和 system.ini 个。
启动组
查看文件夹时,请将视图更改为
细节,并使用
创建日期 用于排列文件的列:
- \documents and settings\all users\Start Menu\Programs\Startup
- \winnt\profiles\all users\Start Manu\Programs\Startup
注册表位置
在注册表中查看在启动时启动且经常被滥用的公共位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppINit_DLL
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run
特定于恶意软件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon
病毒经常使用的目录位置
C:\
%windir%\
%windir%\system32\
%windir%\system32\drivers
%windir%\system32\dllcache
%windir%\SysWOW64\
%TEMP%
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
%userprofile%\local settings\temp
%userprofile%\application data
%userprofile%\local settings\application data
C:\Program Files\
C:\temp
C:\Recycler
C:\Documents and Settings
- 使用 IceSword rootkit 检测器来分析注册表。
- 单击 启动、 McAfee、 按需扫描、 启动 运行按需扫描。
- 如果按需扫描无法检测到威胁,请使用免费 FPort 和 视觉 公用事业 以监控活动。
注意: 以下第三方实用工具也可用于记录恶意文件活动:
- Process Explorer
- TCPView
- ProcMon
- Autoruns
- RootkitRevealer