问题[malware](computer)

我有恶意软件，现在我得到：

恶意软件后“其中一些设置已被隐藏或由您的组织管理”

在 Windows 的应用程序屏幕上的设置下。我在 Chrome 和 Edge 中遇到了这个问题，并且能够摆脱它们，但我不知道如何摆脱这个问题。我使用的是 Windows 10 家庭版，因此没有组策略编辑器。

我相信我需要删除注册表项，但我不知道是哪些注册表项或在哪里。

我不确定这条消息是否会造成任何伤害，因为恶意软件字节和 Avast 杀死了底层恶意软件，但如果可以的话，我想将其删除。

删除“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen”即可修复！我不确定这些键/值的作用，因为一个值只是一个数字，另一个值只是“任何地方”一词。Chome 和 Edge 中的其他内容实际上包含 url 和文件路径之类的内容。

多谢你们！

我有一台全新的（拆包后 10 天）机器，刚刚出现了一个有趣的弹出窗口（下面屏幕截图的右下角）。我所做的唯一修改是

1. 安装勇敢浏览器
2. 安装 WSL、Ubuntu 应用程序和 VS Code
3. 我使用了一个 USB（第 1 代或第 2 代）鼠标和一个键盘

我没有去过任何粗略的网站（除非你包括像outlook这样的微软网站）；我只使用 Brave 来搜索有关编程问题的帮助，并访问了堆栈交换网站和电子邮件（工作用的是 Outlook，个人用的是 Gmail）。

我使用这台计算机的唯一其他用途（除了 Brave 之外）是 ssh 到远程集群（通过我的虚拟专用服务器网关计算机），这需要 2FA + 密码。

其他可能相关的信息：

1. 我进入系统设置并确认当前没有可用的更新
2. Windows 11 家庭版
3. 版本 10.0.22631 内部版本 22631
4. 制造商: 宏碁
5. 系统型号：Swift SFG14-72T
6. 设备是直接从 acer 购买的（或者至少是通过 acer.com）
7. 当我第一次启动时，时间提前了大约 36 小时，据说上次同步是在 2015 年（所以我是通过 time.windows.com 同步的）
8. [可能无关] 尽管我住在东海岸，但我保持系统时间为太平洋时间。
9. 设备在 10 分钟后进入睡眠状态，睡眠后需要 PIN（6 位数字，不简单，但我不知道 Windows 是否使用指数冷却或限制尝试...）
10. 迈克菲是预装的（？奇怪（？）因为我的 2017 年 Windows 机器只有 Defender...）
11. 我只在我的家庭 wifi 上使用过这个设备，在过去的六个月内我更改了密码（我想我应该每三周更改一次，但很懒），并使用了一个不平凡的 > 16 个字符的密码。我不知道它是否有指数冷却或限制尝试，但当新设备连接时，我会在手机上收到应用程序通知。
12. 出现白色文本弹出窗口后，我的光标已从 Ubuntu 应用程序中取消选择。白色文本弹出窗口不可点击且不可滚动。它出现后我重新启动了我的设备。它尚未显示此登录会话。

所以我猜这种妥协可能是由于 Brave 或我的鼠标 (Corsair) 或键盘 (Kinesis Freestyle 2，这是我喜欢的分体式键盘，并且没有遇到任何问题)。但是，我很好奇是否有办法检查（通过系统文件？）是否预先安装了一些错误。看到弹出窗口后，我重新启动了设备（没有继续输入我在其他设备上更改的密码）。

另一个问题是我是否应该真正关心。我在这里使用的电子邮件都不重要，我在使用后手动注销并要求 2FA。我不会将 PII 存储在计算机上，也不会通过该设备访问我的财务信息。我正在使用一台相当强大的（按照学术标准）千万亿次浮点运算的机器，如果有人耗尽了我的分配，那就太糟糕了。然而，除了密码之外，它还需要 2FA，需要将静态 IP 地址列入白名单（这就是我使用网关 VPS 的原因），并且不允许传出数据包（例如，不允许使用 git、wget 等）。

我承认我很沮丧这件事可能已经被泄露了；我有一台已经有 10 年历史的 Mac，没有明显的被破坏的迹象（但我的浏览器历史记录中有更多的 sus，所以如果有一些无声的恶意软件，我不会感到惊讶）。

我在这里问这个问题是为了更好地学习

1. 那个弹出窗口是什么？
2. 我可以了解我采取的哪些具体行动导致了这种渗透吗？（例如，检查键盘驱动程序的机器代码？）
3. 如果我使用的所有东西都需要 2FA，我是否应该关心我的设备是否可能受到损害？

PS很抱歉我的写作风格很冗长......

我发现进程“服务主机：辅助登录”在任务管理器的 Windows 进程下运行，命令行文件在 system32svchost.exe中，我发现它也在我的用户名下运行至少十次（不仅仅是 SYSTEM 和 LOCAL SERVICE）。我还有服务主机：远程过程调用，以及大约 80 个其他服务主机正在运行，但 CPU 较低。

我的问题是，这是恶意软件的明显标志吗？如何禁用它？Windows 安全性未发现任何威胁，自从注意到这一点以防万一，我一直让我的计算机处于离线状态。

在删除它认为是恶意软件的内容之前，是否可以选择让 Microsoft 安全扫描程序链接询问？

看起来它可能会尝试立即删除它认为是恶意软件的东西，而不是询问它，而不是列出它认为是恶意软件的东西并提供删除它的选项。

我正在搜索一些信息sdhl.dat并发现了这个：

你好

我的电脑上有一个.dat文件，每次我尝试删除它时，它都会在重新启动电脑后回来。经过一番搜索，我发现了这个“匿名注册”。我应该担心吗？这会是病毒吗？我已经在 VirusTotal 和 Malwarebytes 上检查过它，它是安全的，但我仍然对此.dat文件感到担忧。我发现的唯一一件事是游戏 Valorant.dat在某些用户身上创建了一些文件。

我每天使用 ClamXAV 对我的计算机进行例行扫描。我看了看报告，上面说我有 89 件被感染的物品。感染名称是Archive.Test.Agent2-9953724-0。这个名字听起来不像病毒。

所有受感染的文件都是诸如setuptools、pip等之类的东西wheel……有诸如 Pycharm 和 Fusion360 之类的应用程序。我什至有一个名为JavaAppletPlugin.pluginflagged 的​​苹果文件。我在 MacOS Monterey 上使用 ClamXAV。这些事情是误报还是我应该担心？

编辑：这是一种病毒感染了我的 $PATH。

我正在对一个发送电子邮件的恶意软件进行恶意软件分析。该恶意软件包含一些硬编码的电子邮件地址。它使用 Google SMTP 发送电子邮件，我不确定它是如何工作的

首先，恶意软件发出一个 DNS 请求来解析谷歌的 SMTP 服务器 IP。 DNS查询

然后它启动 3 次握手 TCP 与 google 的服务器 握手 3 次与 google SMTP 服务器握手

然后恶意软件发送一封电子邮件，但我不确定它如何通过谷歌服务器进行身份验证或识别将电子邮件发送到哪里。 服务器和恶意软件之间的 TCP 通信流

这是原始的 pcapng 文件：wetransfer 中的 pcap 文件

我的问题是 Google SMTP 如何解决将电子邮件发送给谁的问题？还有可能有一个类似于 fakedns 的假 google SMTP 服务器，以便我可以接收电子邮件吗？

我不知道为什么w64.exe在我的笔记本电脑的不同位置会生成文件。Quick Heal 将它们放入隔离文件中。这些文件是由 Microsoft 生成的吗？我怎么能确定这一点？或者这些是某种病毒，因为我从早上开始就一直在删除这些文件，但它们一直在不同的位置出现。

编辑：在我与@Gantendo virus-total交谈后显示没有病毒，但 Quick Heal Paid Application将其显示为病毒文件。

我正在做一些逆向工程研究，其中包括一些恶意软件。我可以将它们保存在我的 Dropbox 中吗？Dropbox 会从服务器端删除它们吗？我四处寻找，但没有找到明确的答案。谢谢。

实际上，我一直想为我的 Windows 10 PC 创建一个完整的系统映像作为备份，因为它开始给我带来麻烦。而且我想要完整的系统映像作为备份，因为我不想重新安装我宝贵的软件。
所以，我的问题是：

1. 在新的外部硬盘上制作系统映像会使其可启动吗？重点是，我是否还能将它用于进一步的存储目的。我将不得不为此购买一个新硬盘，所以我需要知道。
2. 假设我现在制作了我的 Windows 10 的系统映像。我的电脑将来会更新，当它崩溃时说它正在 Windows 11 上运行，我需要我的系统映像。所以，当我恢复时，显然它将是 windows 10。我可以再次更新到 windows 11 吗？（我的意思是同一个用户，同一个 IP 地址，两次更新到 Windows 11。我希望这对微软来说不是问题。）
3. 当我创建系统映像时，病毒、恶意软件等是否也会被复制？将以前的图像恢复到干净的 PC 会感染它吗？
   
   感谢您提前提供帮助！