Rastreando a execução de dados

Navegue suas respostas
3

Eu tenho algum malware infectando uma de nossas máquinas em casa. Ele apareceu pela primeira vez como winulty.exe. Depois de investigar, eu sou da opinião que winulty.exe em si é um arquivo não infectado, mas está sendo modificado depois de ter carregado na memória. Ativar a Prevenção de Execução de Dados para todos os processos e serviços confirmou que isso é verdade.

Como faço para rastrear o processo responsável por isso? Eu usei o File Monitor do sysinternals.com para monitorar winulty.exe e ver isso sendo acessado pela instância svchost.exe hospedando a maioria dos serviços do sistema e também pelo dfrgntfs.exe. Como sei qual serviço ou qual DLL foi infectada?

    
por Agnel Kurian 30.09.2009 / 06:21

5 respostas

1

Tem certeza de que é a instância correta de SVCHOST.EXE ? Como você determinou isso? Qual versão do Windows é?

Repita o que você fez antes, mas, desta vez, observe o PID da instância de SVCHOST.EXE que gravou na memória de WINULTY.EXE e, em seguida, execute Process Explorer - também da Sysinternals - (certifique-se de executá-lo como administrador) e clique duas vezes na instância de SVCHOST.EXE que tem o PID que você anotou. Agora, olhe na guia Serviços para ver quais serviços essa instância está hospedando. Espero que não haja muitos serviços (idealmente, apenas um) nessa instância. Dependendo de quais serviços são hospedados por ele, você pode tentar pará-los para ver se continua. Se WINULTY.EXE só for infectado após a inicialização, então, novamente, dependendo de quais serviços estão hospedados (você pode publicá-los em um comentário para aconselhamento ou consulte Black Viper's ), você pode tentar desabilitá-los para ver se continua após a reinicialização.

    
por 04.03.2011 / 02:10
0

A maneira mais fácil é apenas executar uma varredura antivírus; você não pode saber quantos arquivos foram infectados, portanto, excluí-los você mesmo pode ser problemático. Ele deve pegar e colocar em quarentena todos os arquivos infectados.

Você pode encontrar vários aplicativos antivírus gratuitos, como Microsoft Security Essentials ou avast!

    
por 30.09.2009 / 07:41
0

Uma alternativa para instalar vários antivírus é a varredura online.

Algumas que eu gosto são Trend Micro House Call , Verificação de vírus gratuita do Kaspersky Labs e Panda . Observe que cada um leva algumas horas para ser concluído e que eles podem exigir que você use o Internet Explorer como seu navegador

Além disso, algumas verificações de software anti-adware seriam úteis, como ad-aware e spybot .

    
por 30.09.2009 / 08:21
0
O

winulty não é detectado pelo ad-aware, spybot, AVG. A melhor maneira de se livrar disso é com um detector de Trojan, como o Trojan-Remover, que permite testá-lo por 30 dias. Eu encontrei este vírus esta semana e em outubro do ano passado, e minha esposa pegou um na semana passada e eu encontrei outro em sua máquina hoje.

    
por 08.10.2009 / 00:34
0

É melhor usar um CD AV inicializável, inicializar a partir dele e escanear a unidade enquanto o sistema operacional estiver off-line, depois usar o MBAM ou outro scanner depois de inicializar de volta no Windows para concluir a limpeza.

CD AV inicializável link

MBAM link

.

    
por 18.09.2010 / 21:50

Tags

Adicionando um pequeno monitor touch-screen ao Vista-64 bits, que já possui 2 monitores? Como faço para mesclar “Faces” no iPhoto 09