我们被要求处理的旧 Windows XP Pro (SP3) 工作站上存在病毒,该工作站已关闭一年多。我们能够清理它(Malware Bytes、SpyBot、赛门铁克等),或者我们认为。
嗅探集线器上的流量不会显示任何信息,因此看起来病毒确实处于休眠状态和/或已删除,工作站也没有出现任何其他症状,除了您无法浏览到 *.microsoft.com、symantec.com 等。仍然在 Internet Explorer 中。
除了常见的疑点——IE 中的代理设置更改、主机文件等——您还能在哪些地方限制使用 Internet Explorer 的访问?似乎没有加载任何附加组件,我们也看不到任何恶意进程正在运行。
注意:我们不是在寻找另一个可以运行的工具(即 combofix),而是关于如何/在何处实施这些限制的技术细节。即挂钩到 TCP/IP 堆栈、注册表项等。