Parece que eu fui infectado por um vírus, chamado NSIS: Downloader-BX [Drp] no arquivo chamado DpiSca.exe, mas ...
Eu não estava visitando nenhum site suspeito de costume (warez, pr0n etc) e ninguém mais estava usando meu computador.
Eu não estou recebendo nenhum sintomas comuns .
Já faz mais de 5 anos desde que eu fui infectado da última vez, então estou bastante confiante de que sei como cuidar de mim mesmo.
Não consigo encontrar nenhuma informação na Internet sobre o vírus com o qual estou infectado.
De acordo com o VirusTotal, apenas o avast! considera um vírus.
O Sysinternals Process Explorer, que parece ser um programa muito respeitado, não mostra nenhum processo suspeito.
Depois de executar a varredura mais completa disponível no avast gratuito! várias vezes, não encontrou infecções. Eu irei limpar o computador de um amigo amanhã e assim que ele estiver seguro, planejo usá-lo para escanear meu disco rígido apenas para estar seguro.
O arquivo parece ser um instalador do NSIS. Uma vez extraído, continha apenas 2 arquivos .dll, ExecPri.dll e inetc.dll e nenhum deles parece estar infectado de acordo com o VirusTotal e o avast !. O arquivo intec.dll parece ser parte padrão do NSIS, mas não foi possível encontrar informações sobre o ExecPri.dll.
Após analisar o arquivo do instalador, apenas strings suspeitas estão relacionadas a RichEdit, que parece ser um editor de JavaScript que não estou usando. O resto parece ser padrão clichê NSIS.
Estou usando o OpenDNS e ele não reporta nenhuma resolução DNS de conexões suspeitas.
Por outro lado:
O arquivo apareceu várias vezes no diretório \ windows mesmo depois de ser excluído e não tenho ideia do que está sendo criado. (Quaisquer ferramentas que possam determinar qual arquivo é feito pelo processo waht?)
Apenas referência Eu poderia encontrar sobre isso foi no cache do Google de um fórum que lida com infecções por malware, e foi marcado como agente de vírus.
A minha pergunta é como posso verificar se este ficheiro é ou não parte de um vírus?
Como é um exe, você pode enviá-lo para Anubis e ver o que tudo isso pode estar tentando fazer. Eu sei que você encontrou os dois dll, mas isso pode ajudar a rastrear qualquer outra coisa que possa fazer. Se você não vê nada suspeito de Anúbis e com todas as outras coisas que você fez, é provável que ele seja inerte e você pode deletá-lo e ignorá-lo.
Se é um vírus, ele está fazendo um trabalho bem engenhoso.
Eu suspeito que seja um programa mal escrito ou um antigo.
Uma coisa que você não mencionou foi onde encontrou o arquivo ou de onde o baixou. Onde você conseguiu isso?
Eu tive o mesmo vírus e ainda estou limpando meu computador. Eu só encontrei duas referências a ele e ambos estavam no WhatsRunning.com.
Eu achei que havia removido o programa com antivírus, mas nesta manhã encontrei algumas sobras que você pode estar interessado.
Acontece que eu estava em How-To Geek pesquisando como abrir alguns programas ignorando o controle UAC no Windows 7. Fui direcionado para minhas tarefas agendadas.
Bem, você não sabe, At1, At2, At3, At4, At5, At6, At7 e At8 (se você olhar em "propriedades", eles são todos DpiSca.exe) foram todos agendados para executar com o mais alto privilégios sete dias por semana às 10:00 da noite usando o SISTEMA.
Eu tive que mudar cada um para o Vista Configuration para poder parar e excluir cada um, mas funcionou. Esperançosamente.
A maneira mais fácil de verificar isso é fazer o upload do arquivo que o avast está sinalizando para o VirusTotal . Ele será executado em mais de 40 programas antivírus diferentes. Se você tem apenas alguns, é provavelmente um alarme falso. O Avast tem o hábito de alarmes falsos com um pouco mais de frequência que outros.
Tags anti-virus avast virus