HEUR:Trojan-PSW.Script.Generic 警告与系统感染迹象
问题描述
用户Drachos报告了三个令人担忧的系统感染迹象:
-
卡巴斯基拦截警告:在PC上访问Allfishtoyou.au网站时,卡巴斯基拦截并显示
HEUR:Trojan-PSW.Script.Generic木马警告,但在手机上访问同一网站无此问题。 -
网站访问异常:seriouslyfish.com网站频繁返回503错误,提示"Exceeded the maximum number of page not found errors per minute for humans"。
-
账户安全威胁:有人试图入侵用户的政府账户(税务、教育、福利等系统)。
技术分析数据
系统扫描信息
- 扫描工具:Farbar Recovery Scan Tool (FRST) x64版本
- 操作系统:Windows 10 Home 22H2 19045.6332
- 安全软件:卡巴斯基反病毒软件 + Malwarebytes Anti-Malware
进程分析
系统运行着多个合法进程,包括:
- 卡巴斯基安全组件 (avp.exe, avpui.exe)
- ExpressVPN相关服务
- Steam游戏平台
- 雷蛇Synapse服务
- Malwarebytes反恶意软件服务
注册表项
检测到多个自启动项和浏览器扩展,包括:
- 卡巴斯基保护扩展
- I2P隐私浏览扩展
- MEGAsync云存储扩展
网络配置
- DNS服务器:192.168.50.1
- 防火墙规则包含多个应用程序的出入站规则
- 检测到ExpressVPN TUN驱动和TAP适配器
系统服务
运行着多个安全相关服务:
- 卡巴斯基反病毒服务 (AVP21.22)
- Malwarebytes服务 (MBAMService)
- ExpressVPN各项服务
- Windows Defender(已禁用)
安全评估
基于提供的扫描日志,系统显示出以下特征:
- 多重安全防护:系统安装了卡巴斯基和Malwarebytes等多层安全防护
- 网络异常:特定网站的访问问题可能指向DNS污染或本地感染
- 账户安全事件:政府账户入侵尝试增加了系统被感染的可能性
- 系统完整性:SFC扫描发现并修复了损坏的系统文件
后续行动建议
论坛专家Oh My!提供了逐步的清理指导,包括:
- 使用FRST工具进行系统修复
- 重置网络堆栈和防火墙设置
- 检查卡巴斯基的详细扫描报告
- 验证其他设备在同一网络下的行为
该案例展示了如何通过详细的系统日志分析来诊断复杂的网络安全问题,特别是当传统杀毒软件检测与实际的网络异常行为同时出现时。