下載到惡意軟體，想請問如何刪除乾淨

惡意軟體後門

loshihsuan 2021-01-19 14:03:08 ‧ 2997 瀏覽

分享至

c435d1a203c7638d8aa591fd312cd41c0329fae64433d1b3588d606bf8276730
這是在VirusTotal中的分析結果，下載後電腦會被遠端控制，目前將212.147.34.218這個ip封鎖了。

也有從cmd內用netstat -no指令去對照工作管理員的PID，刪除了一個比較可疑的client32，請問還需要刪除什麼才可以完全清除呢??謝謝!!

看更多先前的討論...收起先前的討論...

雷伊 iT邦高手 1 級 ‧ 2021-01-19 14:08:59 檢舉

重灌！別扁我

ccutmis iT邦高手 2 級 ‧ 2021-01-19 14:16:42 檢舉

重灌！別扁

窮嘶發發發 iT邦高手 1 級 ‧ 2021-01-19 14:24:05 檢舉

花五分鐘重灌，不用想太多

柯柯 iT邦新手 2 級 ‧ 2021-01-19 14:24:47 檢舉

重灌！別

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2021-01-19 14:33:52 檢舉

重灌!重灌!重灌!
可以扁我到.......

loshihsuan iT邦新手 5 級 ‧ 2021-01-19 14:43:55 檢舉

抱歉，剛剛在新手任務沒辦法回。
我想說知道是那個軟體出問題可以不用重灌了~~~
謝謝大家，我先去重灌了...

Darwin Watterson iT邦好手 1 級 ‧ 2021-01-19 20:51:36 檢舉

硬碟格式化⋯

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

虎虎

iT邦研究生 4 級 ‧ 2021-01-19 16:33:48

最佳解答

用工具解的話可以先下載幾個工具：
(1) autoruns ，可以先看惡意程式登入的註冊檔。(畢竟每次開機都要啟動嘛
直接在上面也能 check Virus Total 的值，如果你有乾淨環境的比較，就可以針對可疑的項目做移除。

(2) wireshark，放一整天不做任何動作可以觀察有沒有大量的項目在上傳/下載，但篩選要下的很精準，所以建議用 tcp log view 去記錄電腦的連線及Port。
或可以參考這篇怎麼觀察：
https://ithelp.ithome.com.tw/articles/10197417

(3) process monitor 追蹤觀察可疑的 PID ，或是背景程序有什麼可疑的行為。

(4) process explorer 看現有執行的背景程序，但無持續執行的會比較難抓

(5) 把 windows defender 打開 ((大部份 Virus Total 的惡意程式幾乎都會刪除掉，大部份

重灌當然是最佳解啦 XDDDDD
但如果想要觀察內網有沒有汙染的話也可以試看看啦～

回應
分享
檢舉

登入發表回應

pis520

iT邦新手 1 級 ‧ 2021-01-20 07:43:06

別讓這件事自己獨享，分享給更多人吧！???

回應
分享
檢舉

登入發表回應

johnqq

iT邦新手 5 級 ‧ 2021-01-25 15:27:11

緊急關機,換一顆新硬碟重灌,比花時間掃毒找可疑檔案還要來的有效率

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22121 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙