Como surgiu o que parece ser um vírus no meu computador? (explicação da situação incluída)

Navegue suas respostas
4

Meu sistema é o Windows XP SP3, atualizado com os patches mais recentes.

O PC está conectado a um roteador Cisco 877 ADSL, que faz NAT da rede interna para seu único endereço IP público estático. Não há portas encaminhadas e o console de gerenciamento do roteador só pode ser acessado por dentro.

Eu estava fazendo duas coisas: trabalhando em uma máquina de escritório remoto via VPN e navegando algumas páginas da web no site da Cisco.

A rede remota é absolutamente segura (é uma rede de laboratório, quatro servidores virtuais, nenhum serviço publicamente acessível e nenhum usuário; também, nada do que vou descrever já aconteceu lá).

O site da Cisco ... bem, suponho que seja bastante seguro também.

De repente, algo aconteceu.

Pop-ups estranhos aparecem em qualquer lugar; programas alegando que eles são "antimalware", "antispyware" e assim por diante começa a autoinstalação; ícones falsos do Windows Update e da Central de Segurança são exibidos na bandeja do sistema. svchost.exe começou a falhar repetidamente. Então, finalmente, depois de alguns minutos disso ... BSOD.

E, após a reinicialização, BSOD novamente. Mesmo em modo de segurança.

Ok, isso foi obviamente um vírus / trojan / qualquer coisa. Eu tive que instalar uma nova cópia do Windows em outra partição para limpar as coisas. Eu encontrei estranhos executáveis, serviços e DLLs em quase qualquer lugar. Entre as outras coisas, user32.dll e ndis.sys foram substituídos. Um software falso chamado "Antimalware Doctor" foi instalado. Havia serviços com nomes completamente aleatórios ou mesmo GUIDs (!) E também chamados de "IpSect" e "Darkness". Havia arquivos executáveis sem uma extensão .exe. Havia até dois drivers de classe de inicialização, que eu tenho certeza que são aqueles que finalmente causaram a falha do sistema.

Um verdadeiro massacre.

Ok, agora as perguntas:

  • Que diabos foi isso?!? Foi algo mais do que um simples vírus!
  • Como ele conseguiu atacar meu computador, pois estou protegido por um firewall e não estava fazendo nada, nem mesmo potencialmente prejudicial na Web no momento?
por Massimo 28.04.2010 / 22:16

2 respostas

0

Parece que foi "Neprodoor": link

Eu consegui limpar quase tudo trabalhando em uma nova instalação do Windows em outro disco ... mas esse monstro instalou literalmente dezenas de malwares no sistema, e eu ainda tinha um Windows Update corrompido (como um hosts de redirecionamento, mas o arquivo de hosts estava vazio) e alguns sites de anúncios aparecendo de vez em quando.

Acabei de formatar e reinstalar ... não pude mais confiar no sistema. Oh, bem, era hora de mudar para o Windows 7: -)

Mas eu ainda não sei como ele entrou ...?!?

    
por 29.04.2010 / 22:32
2

Isso soa como um problema recente do XP Antispyware, uma exploração baseada em Java que desativa seu firewall e antivírus, afirma ter detectado centenas de infecções por vírus, adiciona falsos ícones de centro de segurança à barra de tarefas e impede lançamento de programas .exe para que você não possa executar o software antimalware.

Existe uma correção, mas você precisa saber o que está fazendo - não é óbvio - e executar um pequeno script no registro para eliminar o bloqueador de .exe ou simplesmente voltar. Então você tem que se livrar do plugin Java ruim no seu navegador.

Leia tudo sobre isso em: link . Este foi um salva-vidas para mim. Tenho muito cuidado com vírus, etc. e tenho tido sorte até agora, mas este estava na máquina antes que eu percebesse o que havia acontecido. Eu ainda não sei onde eu peguei.

    
por 29.04.2010 / 10:21

Tags

O que é o erro 324? Está relacionado ao Google Chrome? Ou Webmail da Verizon? Artefatos gráficos estranhos no OS X Snow Leopard