什麼是微軟「啟動時間刪除工具」?

什麼是微軟「啟動時間刪除工具」?

我正在使用 Windows 7 電腦。業主報告說,他們認為電腦已被惡意軟體感染,並且他們有一家海外公司試圖解決該問題,但他們所做的事情導致電腦無法啟動。

我在 C:\Windows\System32\Drivers 中發現了一個名為 trjaaake.sys 的有點可疑的驅動程式檔案。該文件是最近才創建/修改的,儘管在我看來它是在假定感染後大約兩天創建/修改的。在該文件的版本標籤下,我看到以下內容:

Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0

該文件似乎是用數位簽名簽署的,但我不知道如何判斷簽名是否合法/有效。

我將該文件提交給 Virus Total,所有 42 個不同的防毒引擎均報告該文件正常。 Norton File Insight 也表示,該檔案被數千名電腦使用者使用,並且已獲得可信任評級。

我確實在 C:\Windows\Temp 中找到了一個名為 BootClean.log 的檔案。它包含以下內容(我已將用戶名更改為“[redacted]”):

Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk 
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk 
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe 
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\ 
BTR Completed Successfully

所以我想我的問題是,有人知道這份文件是什麼嗎?它可能是微軟惡意軟體刪除工具的一部分嗎?

答案1

好的開始可能是跑步西格韋里夫- 這可能有助於驗證簽名。從那裡開始,如果它是由您信任的公司簽署的,那麼它不太可能是您的問題;否則,您可能想要刪除它。

另一方面,一旦機器受到損害,從那時起它就不能真正被信任。我建議備份個人文件和任何其他非特定於作業系統的數據,並重新格式化/重新安裝作業系統。

答案2

這些檔案實際上是由 Windows Defender 動態建立的。目的是在重新啟動時刪除感染系統的惡意軟體。

查看每個文件的屬性,您會發現名稱是隨機的,並且由 Microsoft 憑證授權單位進行數位簽署。重新啟動後,.SYS 檔案一旦達到預期目的(即在重新啟動時刪除惡意軟體),實際上就會消失。

這些都是好文件,而且還不錯!

相關內容