Malware
有人在野外見過 gvtlsysguard.exe 嗎?
有沒有人在“gvtlsysguard.exe”之前看過這個文件並且知道它是什麼?這個週末,我注意到我的一個使用者在他們的使用者配置文件的本地設置文件夾中有這個文件,並且他們以某種方式在 hklm/software/microsoft/windows/current version/run 中寫入了一個系統資料庫項,以便在啟動時為每個人執行這個程序。奇怪的是使用者不應該有任何系統資料庫權限。有誰知道文件是如何到達那裡的以及系統資料庫項是如何發生的?
即使使用 Symantec AV Corp 10“保護”的電腦,我也曾多次看到這種情況。據我所知,它來自某個網站,文件被放置在使用者本地配置文件中並寫入系統資料庫以在啟動時執行。每次看到節目的名字都不一樣。這些程序通常禁用命令提示符、任務管理器等。重新啟動到安全模式,刪除文件,刪除密鑰,並刪除它可能已設置的任何代理。
聽起來像是典型的惡意軟體廢話。調平機器並重新開始。希望您有一個磁碟映像或可以從中恢復的磁碟映像(並且希望您沒有本地儲存使用者數據)。
但是,由於您說您的使用者沒有“管理員”權限,因此它必須利用某種漏洞來獲得“管理員”權限。這並非聞所未聞。
最近,惡意軟體使用者開始寫入文件系統和系統資料庫中非特權使用者可以訪問的位置。您確定它沒有寫入 HKEY_CURRENT_USER 下的同一位置嗎?這種情況變得越來越普遍。