Kurt Dillard:缺少细节,但是,有一些关键的信息。以前一直很可靠的各种计算机系统频繁出现操作系统崩溃的问题意味着受到感染的计算机中的某些东西被改变了。另一个重要的线索是杀毒软件自动关闭自己。最后一个线索是,标准的安全工具不能发现任何恶意软件表明如果这些计算机中有新的软件,这种软件正在偷偷地运行。这种文件隐藏起来了看不到,但是,仍在运行。如果惟一奇怪的事情是数不清的系统崩溃,我会怀疑操作系统最新使用的补丁、设备驱动程序或者一个安全应用程序有问题。这些症候结合在一起暗示某些恶意的东西在起作用。然而,它也许不是一个rootkit。你必须要做额外的研究以便发现正在发生的是什么。
Lawrence Abrams:当你的计算机开始出现异常情况时,我想到的第一件事情就是你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题,那么,这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序,看看是否存在当前杀毒软件定义中没有的新的恶意软件。某些检测故障的软件程序是:
HijackThis:这是一种通用的主页劫持者检测和清除工具,能够连续不断地更新。
WinPFind:这个工具软件可以扫描硬盘中的普通位置,查找与已知的恶意软件使用的方式相匹配的文件。
Silent Runners:这个软件工具检查Windows是如何启动的并且创建一个文本文件以便进行研究或者作为一个基准储存起来。如果没有检测到任何东西,设法用安全模式运行这个程序和你的杀毒/反间谍软件。很多与蠕虫一起发布的普通的rootkit在安全模式不能够运行。因此,故障排查软件在安全模式下可以看到这些恶意软件。
如果在安全模式下发现新的记录和文件,计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面,如果你在安全模式下运行同一个工具软件之后仍没有发现任何可疑的现象,但是这个恶意软件的行为继续存在,你可以推测你正在应付一个更高级的rootkit。
Kevin Beaver:考虑到安装的应用程序的奇怪行为,你很可能正在对付某种类型的恶意软件,最有可能是rootkit或者以远程接入特洛伊木马。这些恶意软件能够让黑客从外部偷偷进入没有保护措施的计算机。了解这个事情的惟一方法是运行能够扫描或者监视异常行为和rootkit的存在的其它扫描软件。这种工具可以是Sana安全公司的“Primary Response”,或者Finjan软件公司的各种解决方案以及Sysinternals公司的“RootkitRevealer”。
我还建议同时运行至少二种或者三种反间谍软件工具。也许还会有一些工具软件你没有用到。除了Spybot--Search & Destroy等常用的解决方案和Lavasoft Ad-Aware安全软件之外还有一些工具。我很幸运地使用了冠群国际的PestPatrol和微软的AntiSpyware等工具软件。监视老系统活动的另外两个工具是监视和封锁出站通讯的个人防火墙(不是Windows防火墙)以及能够监视可疑的系统进出的网络通信的网络分析器。当然,只有你的系统连接到网络的时候后一种选择才是可用的。