iT邦幫忙

1

下載到惡意軟體,想請問如何刪除乾淨

c435d1a203c7638d8aa591fd312cd41c0329fae64433d1b3588d606bf8276730
這是在VirusTotal中的分析結果,下載後電腦會被遠端控制,目前將212.147.34.218這個ip封鎖了。

也有從cmd內用netstat -no指令去對照工作管理員的PID,刪除了一個比較可疑的client32,請問還需要刪除什麼才可以完全清除呢??謝謝!!

看更多先前的討論...收起先前的討論...
雷伊 iT邦高手 1 級 ‧ 2021-01-19 14:08:59 檢舉
重灌!別扁我
ccutmis iT邦高手 2 級 ‧ 2021-01-19 14:16:42 檢舉
重灌!別扁
花五分鐘重灌,不用想太多
柯柯 iT邦新手 3 級 ‧ 2021-01-19 14:24:47 檢舉
重灌!別
重灌!重灌!重灌!
可以扁我到.......
抱歉,剛剛在新手任務沒辦法回。
我想說知道是那個軟體出問題可以不用重灌了~~~
謝謝大家,我先去重灌了...
硬碟格式化⋯
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
7
虎虎
iT邦研究生 5 級 ‧ 2021-01-19 16:33:48
最佳解答

用工具解的話可以先下載幾個工具:
(1) autoruns ,可以先看惡意程式登入的註冊檔。(畢竟每次開機都要啟動嘛
直接在上面也能 check Virus Total 的值,如果你有乾淨環境的比較,就可以針對可疑的項目做移除。

(2) wireshark,放一整天不做任何動作可以觀察有沒有大量的項目在上傳/下載,但篩選要下的很精準,所以建議用 tcp log view 去記錄電腦的連線及Port。
或可以參考這篇怎麼觀察:
https://ithelp.ithome.com.tw/articles/10197417

(3) process monitor 追蹤觀察可疑的 PID ,或是背景程序有什麼可疑的行為。

(4) process explorer 看現有執行的背景程序,但無持續執行的會比較難抓

(5) 把 windows defender 打開 ((大部份 Virus Total 的惡意程式幾乎都會刪除掉,大部份

重灌當然是最佳解啦 XDDDDD
但如果想要觀察內網有沒有汙染的話也可以試看看啦~

0
pis520
iT邦新手 1 級 ‧ 2021-01-20 07:43:06

別讓這件事自己獨享,分享給更多人吧!???

0
johnqq
iT邦新手 5 級 ‧ 2021-01-25 15:27:11

緊急關機,換一顆新硬碟重灌,比花時間掃毒找可疑檔案還要來的有效率

我要發表回答

立即登入回答