我们的一个用户正在经常遇到病毒问题。 它发生在两个不同的机器上的这个用户,在每种情况下感染相同的程序与相同的病毒。
恶意软件字节检测到恶意软件,昨天我清理了系统。 请注意,MSE找不到任何东西。 恶意软件字节实时扫描程序也在运行,但我今天再次检查,系统被重新感染。
这是一个Win 7 Pro SP1系统,它具有最新的更新,它运行Windows防火墙(以及企业防火墙后面),系统上的MSE和MBAM,仍然会被重新感染!
我已经扫描用户的networking驱动器,以防他们从那里拿起它,但到目前为止没有发现。
我怎样才能到这个反复出现的病毒问题的底部,并阻止系统一劳永逸的感染?
Trojan.Agent.Gen是一个通用签名。 这意味着Malwarebytes的启发式发现了一些东西,但应用程序并不确定它是什么,所以它只能删除应用程序,所以任何备份或掩码的副本仍然可以留在系统上。 甚至有一个很小的机会,这根本不是病毒。 如果是病毒,我们需要先build立一个签名。
请,请执行以下操作:
PS Microsoft Essentials和Malwarebytes不能替代良好的端点安全产品。 他们无法处理大量的病毒,因为他们缺乏捕捉它们所需的复杂安全组件。 如果您不想再遇到这种问题,可以考虑使用McAffee,卡巴斯基或ESET的行业标准terminal软件。 特别是如果您在企业环境中工作。
普通嫌疑犯:
login的用户具有不适当的提升的权限或权限。
有一个易受攻击的,过时的Adobe Flash浏览器助手安装。
有一个易受攻击的和过时的PDF阅读器安装。
有一个容易和过时的Java运行时间安装。
使用受感染的可移动媒体(USB驱动器)。
请注意,对于许多APT(高级持续性威胁)来说,构build一个可由受害者下载的一次性,自定义,唯一的恶意应用程序是微不足道的。 由于二进制的encryption,这些可能不会被扫描标记。 在某些情况下,有必要对networking活动进行分析以检测入侵事件。 这是FireEye和Trend Deep Security等产品与传统的基于客户端的防病毒应用程序的不同之处。
除了Greg Askew的回答,这里有一些想法。
如果用户有跟随他的这种感染,它必须是特定于这个用户的习惯或帐户的东西。
通常情况下,它可能是漫游configuration文件,你说这是没有使用。
为了得到重新感染,这意味着某种types的dropper或隐藏的rootkit程序,在披风后重新下载软件; 用户是否使用提升的权限运行? 在这种情况下,摆脱重新感染的唯一方法是重新格式化电脑,彻底重新开始,甚至吹走引导扇区。 如果在后台隐藏了某些东西,然后重新下载被检测到的软件,这将完全擦除它。
否则,你将不得不求助于检查用户的浏览习惯。 你有一个监测网页浏览活动的代理系统吗? 它的日志可以告诉你什么网站你的用户访问感染的时间? (如果软件是通过http下载的,你的代理也可能被configuration为阻止下载站点,这取决于它是什么…可以帮助防止一些重新感染载体)
另一个想法 这是一个误报。 把可执行file upload到一个在线病毒扫描程序,该扫描程序可以testing针对多个AV引擎的可执行文件,并查看它是否实际触发了大多数AV引擎 过去我一直有误报。 代理服务器或者数据包嗅探器也可以帮助确定计算机是否正在做一些不该做的事情。 只是有一个AV触发报警并不意味着电脑实际上正在做的事情不应该。
你说感染正在导致电脑locking, 对我来说,这有点奇怪,因为今天大多数恶意软件的目标并不是要让计算机彻底地采取行动,引起人们的注意。 难道是什么东西在破坏可执行文件? 机器锁起来可能是巧合吗?
再次感染和无法find远程安装(如共享或家庭目录有感染者)将意味着监视用户的习惯,在工作站上安装安装,并从头开始重新安装,以消除隐藏的工具包,并使用特权限制,使用户可以只“感染”他自己访问的目录,并通过使用第三方网站进行扫描来validation被感染的可执行文件是否真的被感染。