本文介绍在您的防病毒产品未检测到感染时,可帮助您查找可疑文件的过程和位置。
可能的症状包括:
可疑的计算机行为,例如高 CPU 使用率在无法识别的进程上
网络流量或带宽使用率明显增加
已添加新服务或已删除现有服务
无法访问网络资源,例如共享驱动器
应用程序停止运行或无法访问文件
添加了意外的注册表项
Internet Explorer 主页未经允许即已更改
重要说明: 由于恶意软件和其他威胁的种类繁多,我们无法提供所有可能的感染症状的列表。如果您怀疑系统已感染,但未列出特定症状,则仍会采取所有可用的预防措施。请确保您的 DAT 文件是最新的,并对您的系统运行按需扫描或命令。行扫描。如果未检测到感染,请按照本文中的步骤收集可疑的文件示例,并将其提交给 Trellix Labs。
本文包含对某些第三方工具的参考。有关使用它们的说明,我们建议您使用第三方产品的帮助文件。
内容:
单击以展开您要查看的部分:
联系技术支持前的基本检查
确保您使用的是最新的 DAT 和引擎文件
从安全/Security 更新网站下载当前的 DAT 和引擎:
获取最新的安全更新:
如果您的自动更新失败,或者在受感染的系统上使用额外 .DAT ,则可能需要下载这些文件。
单击 " DAT " 选项卡下载最新的 DAT。文件格式表示 DAT 版本 dat-####.zip ,其中 #### 是 DAT 版本。
单击 " 引擎 " 选项卡以下载最新引擎。
检查版本列以确定当前已发布的引擎版本。
确保您使用的是最新的可用产品更新或修补程序
使用 适用于您的产品的受支持平台文章来 确定最新更新和修补程序级别。
确定安装了哪个更新或修补程序。确定产品不同于产品的方式,但典型的方法包括:
右键单击通知区域中的产品图标,然后选择 关于 。
打开产品控制台并选择 帮助 、 关于 。
某些产品需要控制台命令。来确定是否已安装更新。请参阅相关产品文档。
下载并安装最新的产品更新。删除病毒可能需要结合使用产品更新、DAT 和引擎更新。
获取最新的修补程序。
创建修正程序是为了解决特定问题,修正程序不会公开发布,但您可以联系技术支持来获取。
如果您是注册用户,请键入您的用户 ID 和密码,然后单击 " 登录 "。
如果您不是注册用户,请单击 " 注册 " 并填写相应的字段,以通过电子邮件将您的密码和说明发送给您。
安装 Microsoft 安全更新
安装 最新的 Microsoft 安全/Security 更新 ,以防止攻击安全漏洞。确保下载并安装了最新的更新和修补程序。您可以将 Windows 配置为自动执行这些操作。
配置要扫描的产品
验证您是否已将按访问和按需扫描程序配置为:
确认您已启用以下选项:
注意: 其中一些选项仅在 VirusScan Enterprise 中提供。有关详细信息和说明,请参阅产品的产品手册。
使用所有扫描设置运行按需扫描启用
对 "主要操作" 设置为 "清理" 的所有文件执行完整按需扫描。有关如何配置按需扫描的详细信息,请参阅产品的产品手册。有关 VirusScan Enterprise,请单击 启动 ,
程序 ,
McAfee ,
按需扫描 ,
启动 。
使用最新的测试版 DAT 文件运行扫描 .exe
如果按需扫描和标准 DAT 文件未检测到感染,则可能会在测试版 DAT 文件中检测到其他签名。
下载 测试版 DAT 文件 。
应用测试版 DAT 文件:
自动(使用最新的 SuperDAT 文件可执行文件):
启动 avvwin_xdatbeta.exe 在受感染的计算机上。该可执行文件会更新使用 DAT 文件的所有产品。
更新完成后,根据产品运行所有驱动器或数据库上的按需扫描。
手动(使用最新的 DAT 文件):
要手动更新产品的 DAT 文件,请参阅相关文章以获取相关说明。
要检查的其他文件和文件夹
如果按需扫描仍无法检测到任何威胁:
在 Windows 配置文件中搜索任何可疑条目。
在 "启动程序" 组中搜索您不识别的任何项目或应用程序。
检查常见的注册表位置是否存在可疑条目。
使用 Windows 资源管理器检查公共目录位置中的恶意文件。
检查 Windows 计划程序中是否存在您无法识别的条目。
使用其他 Trellix 和第三方工具来发现恶意活动。
查找可疑文件
启动文件夹和注册表位置最有可能包含可疑条目。检查以下位置。
注意:: 本文包含有关打开或修改注册表的信息。
系统配置文件:
Win.ini
此文件由早期版本的 Windows 使用,并在系统启动期间使用。在 Windows 7 及更高版本中,存储在此文件中的详细信息现在会放在注册表中。
System.ini
此文件是一个主要与 Windows 的早期版本一起使用的 Windows 初始化文件。但是,在 Windows 的后续版本中,仍会使用此 INI 文件来向后兼容。
Autoexec.bat
此文件在系统启动期间使用,并在 Windows 的更高版本上保留,以保证向后兼容性。它存储在系统驱动器的 root 上。此批处理文件在启动时执行命令。
Config.sys 此文件是旧版 Windows ASCII 文本文件,其中包含可使用 msconfig 访问的配置指令。
按 Windows + R,键入 msconfig , 然后按 Enter。
检查该 启动项目 选项卡。
检查该 win.ini 和 system.ini 个。
启动组
查看文件夹时,请将视图更改为
细节 ,并使用
创建日期 用于排列文件的列:
\documents and settings\all users\Start Menu\Programs\Startup
\winnt\profiles\all users\Start Manu\Programs\Startup
注册表位置
在注册表中查看在启动时启动且经常被滥用的公共位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppINit_DLL
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run
特定于恶意软件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon
病毒经常使用的目录位置
C:\
%windir%\
%windir%\system32\
%windir%\system32\drivers
%windir%\system32\dllcache
%windir%\SysWOW64\
%TEMP%
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
%userprofile%\local settings\temp
%userprofile%\application data
%userprofile%\local settings\application data
C:\Program Files\
C:\temp
C:\Recycler
C:\Documents and Settings
使用 IceSword rootkit 检测器来分析注册表。
单击 启动 、 McAfee 、 按需扫描 、 启动 运行按需扫描。
如果按需扫描无法检测到威胁,请使用免费 FPort 和 视觉 公用事业 以监控活动。
注意: 以下第三方实用工具也可用于记录恶意文件活动:
Process Explorer
TCPView
ProcMon
Autoruns
RootkitRevealer