Estou trabalhando em um computador com Windows 7. O proprietário relata que acredita que o computador foi infectado por malware e que uma empresa estrangeira tentou consertar o problema, mas que algo que ele fez o computador não conseguiu inicializar.
Eu encontrei um arquivo de driver suspeito chamado trjaaake.sys localizado em C: \ Windows \ System32 \ Drivers. O arquivo foi criado / modificado apenas recentemente, embora pareça que foi criado / modificado cerca de dois dias após a suposta infecção. Na guia de versão deste arquivo, vejo o seguinte:
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
O arquivo parece estar assinado com uma assinatura digital, mas não sei como saber se a assinatura é legítima / válida.
Enviei o arquivo para o Virus Total e todos os 42 mecanismos antivírus diferentes informaram que o arquivo está correto. O Norton File Insight também diz que esse arquivo é usado por milhares de usuários de computador e que recebeu uma classificação confiável.
Eu encontrei um arquivo em C: \ Windows \ Temp chamado BootClean.log. Ele contém o seguinte (eu mudei o nome de usuário para "[redigido]"):
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramDatayfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramDatayfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramDatayfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
Então, eu acho que a minha pergunta é, alguém sabe o que é esse arquivo? Talvez seja parte da Ferramenta de Remoção de Software Mal-intencionado da Microsoft?
Um bom lugar para começar é executar sigverif - isso pode ajudar a validar a assinatura. A partir daí, se for assinado por uma empresa em que você confia, provavelmente não será seu problema; caso contrário, você pode querer excluí-lo.
Por outro lado, quando uma máquina é comprometida, não é realmente confiável a partir de então. Sugiro fazer backup de arquivos pessoais e de quaisquer outros dados não específicos do sistema operacional e reformatar / reinstalar o sistema operacional.
Esses arquivos são criados dinamicamente pelo Windows Defender. O objetivo é remover malwares durante a reinicialização que infectaram seu sistema.
Observe as propriedades de cada arquivo e você perceberá que os nomes são aleatórios e assinados digitalmente pela Autoridade de Certificação Microsoft. Após a reinicialização, os arquivos .SYS realmente desaparecerão depois de terem servido à finalidade pretendida, que é remover o malware durante a reinicialização.
ESTES BONS ARQUIVOS NÃO SÃO MÁS !!!
Tags windows-7 virus-removal