Я работаю на компьютере с Windows 7. Владелец сообщает, что, по его мнению, компьютер был заражен вредоносным ПО, и что они обратились за помощью к зарубежной компании, которая пыталась исправить проблему, но что-то из их действий привело к тому, что компьютер не смог загрузиться.
Я нашел несколько подозрительный файл драйвера с именем trjaaake.sys, расположенный в C:\Windows\System32\Drivers. Файл был недавно создан/изменен, хотя мне кажется, что он был создан/изменен примерно через два дня после предполагаемого заражения. На вкладке версии для этого файла я вижу следующее:
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
Файл, похоже, подписан цифровой подписью, но я не знаю, как определить, является ли подпись законной/действительной.
Я отправил файл в Virus Total, и все 42 антивирусных движка сообщили, что файл в порядке. Norton File Insight также сообщает, что этот файл используется тысячами пользователей компьютеров и что ему был присвоен рейтинг доверия.
Я нашел файл в C:\Windows\Temp под названием BootClean.log. Он содержит следующее (я изменил имя пользователя на "[отредактировано]"):
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
Так что, наверное, мой вопрос: кто-нибудь знает, что это за файл? Может быть, это часть инструмента Microsoft's Malicious Software Removal Tool?
решение1
Хорошим началом может стать бег.sigverif- это может помочь проверить подпись. Если она подписана компанией, которой вы доверяете, то она вряд ли будет вашей проблемой; в противном случае вы можете удалить ее.
С другой стороны, как только машина скомпрометирована, с этого момента ей нельзя доверять. Я бы посоветовал сделать резервную копию личных файлов и любых других данных, не относящихся к ОС, и переформатировать/переустановить ОС.
решение2
Эти файлы на самом деле динамически создаются Windows Defender. Цель — удалить вредоносное ПО при перезагрузке, которое заразило вашу систему.
Взгляните на свойства каждого файла, и вы заметите, что имена случайны и имеют цифровую подпись от Microsoft Certificate Authority. После перезагрузки файлы .SYS фактически исчезнут, как только они выполнят свое прямое предназначение, а именно удаление вредоносного ПО при перезагрузке.
ЭТО ХОРОШИЕ ФАЙЛЫ, А НЕ ПЛОХИЕ!!!