5

Я работаю на компьютере с Windows 7. Владелец сообщает, что, по их мнению, компьютер был заражен вредоносным ПО и что зарубежная компания пыталась решить эту проблему, но что-то из-за этого компьютер не смог загрузиться.

Я нашел несколько подозрительный файл драйвера с именем trjaaake.sys, расположенный в C:\Windows\System32\Drivers. Файл был только недавно создан / изменен, хотя мне кажется, что он был создан / изменен через два дня после предполагаемого заражения. Под вкладкой версии для этого файла я вижу следующее:

Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0

Файл, кажется, подписан цифровой подписью, но я не знаю, как определить, является ли подпись законной / действительной.

Я отправил файл в Virus Total, и все 42 различных антивирусных ядра сообщают, что файл в порядке. Norton File Insight также сообщает, что этот файл используется тысячами пользователей компьютеров и что ему присвоен рейтинг доверия.

Я нашел файл в C:\Windows\Temp с именем BootClean.log. Он содержит следующее (я изменил имя пользователя на «[отредактировано]»):

Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk 
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk 
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe 
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\ 
BTR Completed Successfully

Итак, я думаю, мой вопрос, кто-нибудь знает, что это за файл? Это может быть частью средства удаления вредоносных программ Microsoft?

2 ответа2

2

Хорошим местом для начала может быть запуск sigverif - это может помочь проверить подпись. Оттуда, если он подписан компанией, которой вы доверяете, это вряд ли будет вашей проблемой; в противном случае вы можете удалить его.

С другой стороны, когда машина взломана, ей нельзя доверять с этого момента. Я бы предложил создать резервную копию личных файлов и любых других данных, не относящихся к ОС, и переформатировать / переустановить ОС.

0

Эти файлы фактически динамически создаются Защитником Windows. Цель состоит в том, чтобы удалить вредоносную программу при перезагрузке, которая заразила вашу систему.

Посмотрите, что свойства каждого файла, и вы заметите, что имена являются случайными, и они имеют цифровую подпись центра сертификации Microsoft. После перезагрузки.Файлы SYS на самом деле исчезнут, как только они достигнут своей цели, а именно удаления вредоносных программ при перезагрузке.

ЭТО ХОРОШИЕ ФАЙЛЫ, А НЕ ПЛОХО !!!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .