vista vírus antivírus é iniciado mesmo em modo de segurança

Navegue suas respostas
3

Minha irmã pegou um desses trojans de antivírus falsos em seu laptop Vista. Ele não mudou seu histórico, mas aparece o material do "Vista Security Center" em todo lugar e já matou sua internet - tanto o IE quanto o Firefox travam quando iniciam, e se eles ficarem acordados há algum redirecionamento ou proxy de DNS ou algo dizendo que o computador está infectado. Bah!

Normalmente, quando eu tive que limpar essas coisas, eu iniciei no modo de segurança, executei o HijackThis para desativar automaticamente o processo agressivo e depois reiniciei e executei scanners (adaware ultimamente) para limpar as coisas.

Desta vez, a maldita coisa funciona mesmo em modo de segurança. Estou no modo de segurança, mas depois de alguns segundos o aplicativo de trojan aparece, e não consigo me conectar à Internet por causa do mesmo lixo de proxy que ele tem. Soooooo .... minhas perguntas:

  1. Meu plano agora é executar um CD do AVG inicializável e ver se isso pode limpá-lo, mas não tive sorte com isso no passado, levando a ...

  2. Esta é agora a terceira infecção como esta em tantas semanas de pessoas que conheço. Todos os computadores supostamente estavam executando o MS Security Essentials ou o AVG - os que não estão pegando o que quer que seja, antes de danificar e sugar, ou algo está acontecendo?

  3. Por falar no AVG, tentei executar o CD inicializável em outro computador infectado por algum tempo e ele não encontrou nada. Não foi até que eu fiz o hijackthis até que eu tivesse sucesso limpando as coisas.

  4. Como essa coisa está sendo executada em modo de segurança? E como posso desativar itens de inicialização nesse caso? Eu não vi nada engraçado quando executando msconfig, mas talvez eu tenha perdido. Eu não tinha hijackthis em mim quando eu estava olhando para esta noite, então eu vou tentar executar o próximo e ver o que acontece, mas desde que o trojan está rodando mesmo em modo de segurança eu não estou confiante de que ele não vai matar que quando eu tento executá-lo.

Quaisquer pensamentos ou ideias? Obrigado!

EDITAR: Obrigado a todos pelo conselho! Este acabou por ser uma das remoções mais complicadas que fiz. Eu consegui rodar o HijackThis no modo de segurança, entre popups (era um obw.exe que continuava rodando) e desabilitei um monte de coisas que não pareciam corretas, mas nenhuma delas saltou para mim como o aplicativo ofensivo. Também consegui executar a verificação do AVG no modo de segurança, mas ela não disse que encontrou algo. Mas de alguma forma eu (ou o trojan?) Consegui desativar as extensões .exe com a execução - inicializei no modo regular e não pude mais iniciar um aplicativo. Cada atalho do .exe solicitou qual aplicativo eu queria associá-lo; tentando executar o gerenciador de tarefas ou regedit disse que não conseguiu encontrar o aplicativo.

Consegui encontrar algumas instruções que me fizeram copiar o regedit.exe para regedit.com, permitindo que eu executasse o regedit para tentar restaurar algumas associações .exe para que elas pudessem ser executadas. Eu encontrei na chave (ROOT-algo?) Que aparentemente estava chamando este aplicativo obw.exe e executando cada lançamento do .exe através disso. Agradável. De qualquer forma, uma vez que eu restaurei as configurações do registro, tudo parecia estar definido. Executei as varreduras AdAware e MS Security Essentials e as duas voltaram limpas. Cruzando meus dedos para que continue assim!

    
por Peter Tirrell 31.03.2011 / 05:03

3 respostas

3

Para responder às suas perguntas ...

  1. tente de qualquer maneira

  2. é possível que seja um novo malware ainda não protegido, mas é mais provável que alguém tenha clicado em algo para instalá-lo

  3. novamente, tente de qualquer maneira, execute as atualizações antes da digitalização e defina as opções de verificação para uma verificação agressiva

  4. Eu removi coisas desse tipo colocando a unidade infectada em um encaixe USB e digitalizando com o Symantec Corporate AV. A chave é que o sistema operacional infectado não pode ser executado porque o malware está usando técnicas comuns para rootkits e hooks de kernel.

Um bom lugar para ferramentas e informações para ajudá-lo com isso é o site da Microsoft Sysinternals & fóruns .

    
por 31.03.2011 / 06:09
3

Parece que o usuário que pegou o vírus provavelmente estava sendo executado como administrador - quando o FakeAV está sendo executado sob um usuário limitado, ele "se instala" na pasta appdata do usuário. Provavelmente, como também está sendo executado no Modo de segurança, até mesmo uma nova conta de usuário pode não ajudar.

Seu amigo, neste caso, será o Malwarebyte's Anti-Malware . Seu download gratuito será capaz de limpar esta infecção. Se possível, recomendo puxar o disco rígido, colocá-lo em um gabinete e limpá-lo de outro computador (dessa forma, você não está lutando contra processos em execução, etc.). Esses FakeAVs são ótimos para bloquear / excluir o exe do programa do Malwarebyte (sua primeira dica de que funcionará!).

Se você acabar tendo que executar o AntiMalware da MB no computador infectado, dê uma olhada nas instruções deles no fórum: Estou infectado, o que eu faço . Ele aborda alguns dos passos que você pode tomar quando a infecção está ativamente combatendo você de instalar o software deles.

Uma vez instalado, tudo o que você precisa fazer é executar um "Quick Scan" (uma varredura completa, se você acabou de puxar o disco rígido, basta escolher o disco rígido da lista).

Editar:

Se você está preocupado com o programa tentando se auto-executar, pegue uma cópia do Sysinternals Suite da Microsoft . O programa específico que você está procurando é autoruns.exe - marque a guia "Logon" e remova qualquer coisa suspeita. Será algo parecido com isto:

    
por 31.03.2011 / 09:34
2

Pode estar associado a um perfil de usuário específico. Recentemente, vi uma infestação desse tipo, em que o perfil regular do usuário estava infestado, de modo que tive problemas com ele, mesmo no modo de segurança, mas o perfil do administrador local estava limpo ... ou o suficiente para continuar a solução de problemas e limpeza, de qualquer maneira. Naturalmente, certifiquei-me de escolher o perfil dela quando percebi a natureza da situação.

Então, tente fazer login com um perfil diferente. Pode ajudar.

    
por 31.03.2011 / 08:39

Tags

Renomeia a pasta de acordo com as informações da tag mp3 / flac Como voltar para a linha de comando depois de lançar um script Node.js?