Я поймал трояна, который использует explorer.exe для воспроизведения себя в случае удаления его записи автозапуска или основного исполняемого файла в Programs/x .
Он уже пытался связаться с подозрительным сервером через explorer.exe, заблокировал это через мой брандмауэр.
Я:
- Удалены записи автозапуска из реестра
- Просмотрел мои сервисы, если было что-то подозрительное
- Удалил троян из
Programs/ - Прошел информацию о томе системы, чтобы найти 2-месячный файл explorer.exe и заменил его, возможно, зараженным.
Больше нет подозрительных процессов, запущенных (нет дубликата explorer.exe), и ничто не хочет подключать этот сервер.
Я также проверил свою систему с помощью нескольких антивирусных программ.
Что сделал троян:
- Запустил второй explorer.exe
- Всегда, когда я удалял основной троянский exe-файл, он воспроизводился (вторым explorer.exe)
- Всегда, когда я удалял запись автозапуска, она тоже воспроизводилась с explorer.exe.
Когда я остановил подозрительный файл explorer.exe, который использовал вдвое меньше памяти, чем менее подозрительный из Windows, произошла странная вещь, которую я знаю по компьютерам в моем классе информатики:
В левом верхнем углу моего рабочего стола без проводника появилось окно под названием «Персональные настройки для ... являются ...», которое явно копировало некоторые файлы. Затем оба файла explorer.exes снова запустились, и троян снова оказался повсюду.
- Что на самом деле сделал троян, чтобы заставить исследователя спасти его?
- Мой компьютер чист от этого нового трояна сейчас?
- Какие еще места я должен проверить на наличие трояна?
- Trjoan не кажется очень высокоуровневым, он мог изменить другие системные файлы или запись автозапуска жизненно важна для него?