Como sei se consegui remover completamente um trojan não detectado?

3

Eu peguei um trojan que usa o explorer.exe para se reproduzir em caso de exclusão de sua entrada de autoinicialização ou arquivo exe principal em Programs/x .

Ele já tentou entrar em contato com um servidor suspeito por meio do explorer.exe, bloqueado por meio do meu firewall.

I:

  • Removidas as entradas de início automático do registro
  • Examinou meus serviços se houvesse algo suspeito
  • Excluiu o trojan de Programs/
  • Passou pelas informações de volume do sistema para encontrar um explorer.exe de dois meses e substituiu o possivelmente infectado.

Não há mais processos suspeitos em execução agora (nenhum explorer.exe duplicado) e nada deseja conectar esses proprietários de cavalos de Tróia também.

Também verifiquei o meu sistema com vários programas anti-malware.

O que o trojan fez:

  • Iniciou um segundo explorer.exe
  • Sempre quando eu apaguei o arquivo trojan exe principal que foi reproduzido (pelo segundo explorer.exe)
  • Sempre quando excluí a entrada de início automático, também foi reproduzida pelo explorer.exe.

Quando terminei o suspeito explorer.exe, que usava apenas metade da memória que o menos suspeito do Windows, uma coisa estranha que eu conheço dos computadores da minha aula de Informática aconteceu:

Uma janela apareceu na parte superior esquerda da minha área de trabalho sem explorador, intitulada "Configurações pessoais para ... são ...", que obviamente copiou alguns arquivos. Em seguida, os dois explorer.exes começaram novamente e o trojan estava em toda parte novamente.

  • O que o trojan realmente fez para fazer o explorador resgatá-lo?
  • O meu PC está limpo deste novo trojan agora?
  • Quais são os outros locais que eu devo verificar para o trojan?
  • O trjoan não parece muito alto nível, poderia ter mudado outros arquivos do sistema ou a entrada de início automático é vital para ele?
por Arjan 13.03.2010 / 12:20

4 respostas

2

Você pode nunca ter 100% de certeza de que removeu completamente um cavalo de tróia. Quando sua segurança é violada, você não sabe exatamente o que aconteceu.

Você parece ter entendido muito bem o que isso fez com o seu sistema. Mas e se ele instalasse um rootkit que você não encontrasse e fosse invisível para o seu software antivírus?

Há toneladas de coisas para pensar como exemplo acima. A única maneira de ser completamente certo é a reinstalação do sistema completo .

Se você não está à altura, execute alguns pacotes de software antivírus, etc., verifique todas as configurações de inicialização (registro, msconfig, etc.) procurando por processos de execução "estranhos" e elimine-os para ver o que acontece.

    
por 13.03.2010 / 14:21
1

Como foi dito, sem uma reinstalação completa você não poderia ter certeza ... No entanto, se você dedicar um tempo para inspecionar profundamente seu sistema (muitas vezes mais tempo do que aplicar uma boa estratégia de backup / reinstalação ...) poderia ter uma chance externa que é algo que permanece. Então, aqui estão algumas ferramentas gratuitas para fazer isso. (por ordem de preferência pessoal)

Inicie e termine com sfc /scannow em um prompt de comando do administrador para verificar todos os arquivos do sistema

Scanners de antimalware

Para mais segurança, use vários mecanismos e use-os em uma mídia de inicialização (como ubcd4win ) ou outro computador (bem protegido).

Detector de rootkit

Ferramentas de inspeção profunda do sistema

Bônus: Um vídeo interessante com Mark Russinovich (criador do ProcessExplorer e Autoruns ) sobre Malware Cleaning

    
por 13.03.2010 / 21:15
0

Use o Lavasoft_Ad_Aware_Anniversary_2009_Professional_8.0.7, spybot search & destruir ou SUPERAntiSpyware

    
por 13.03.2010 / 15:35
-1

(1) Se foi completamente indetectável, você nunca pode ter certeza absoluta de que conseguiu tudo.

(2) Eu recomendaria um Mac em seu lugar.

    
por 13.03.2010 / 12:56