同事说她的电脑不停弹窗,而且很卡,一看又是各种国产推广软件,已经卸了好几轮,但还是会在后台自动下载安装。先按常规的方法断网,再卸载各种国产套皮软件,压缩、桌面壁纸、数据恢复、记事笔记、看图、PDF等,然后再清理服务、驱动、计划任务、注册表启动项等可能隐藏后台下载的地方,还清了临时文件夹,把后台下载完和没下载完的都干掉,重启,好像清静了.
插上网线,过了一会,跳出个16位MS-DOS Subsystem窗口,说在临时目录里有个可执行文件,然后The NTVDM CPU has encountered an illegal instruction,同时还有一个黑色窗口,不过标题栏上的文件名不是前面提示窗口上出现过的名字,但位置还是在临时目录里,类似的窗口接连跳出好几个来,看来这自动下载又回来了。
正好之前装了个火绒,没一会就跳出来发现流氓软件、广告推广软件,就用它全盘扫扫,一会扫出9个风险,流氓软件、广告、木马,看了下位置与名字,前面清理服务时有见过,不过被名字迷惑了,直接跳过去,真是老了,不象以前用SREng那时候,就是微软出品也要再三查,现在名字里带个微软都跳过去,太久没有这种实战,敏感度与警惕性已经下降了,电脑上同时还有装电脑管家,太相信这种花钱的政治玩意,竟然以为没有病毒木马了,小看人心了。
清理完好像又安静了会,不过那两个窗口还是会跳出来,怀疑是不是某些正规软件也有推广任务,算了,不是自己电脑,能凑合用就凑合用,毕竟已经杀毒了,虽然没杀完全盘。用火绒的自定义规则把那几个临时目录下的程序文件名看起来,不让创建,直接阻止,这样就不用手动去关了,这个自定义规则还行,支持通配符,省得文件名后面数字变了,然后交差。
最后查了下公司的防火墙,发现这些推广软件的链接实际是拒绝的,怪不得有的无法完成完整下载,但仍有完整的,怀疑是P2P(还有一种可能是复制,在其它地方下载好,或原来就带着安装包,再复制到临时目录),从网段内其它已经有数据的电脑上取来的,更怀疑是正规软件的锅,只是不能证实,以后有时间再看吧,把监控开起来应该能发现,比如我用火绒自定义规则就发现360安全浏览器在临时目录下创建修改一个ini的文件 ,创建当时和那两个黑窗口一起出来,还以为找到了,结果发现没有证据能证明,那个ini文件里似乎只是检索电脑上装了多少360的软件之类的,没有推广下载的文件名。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/2224.html