Nos outros 3 computadores da minha família, acredito que temos um rootkit em modo kernel para o Windows.
Parece que o mesmo rootkit está em todos eles. Nós pensamos.
Alteramos todas as senhas importantes do meu computador, executando o linux agora mesmo.
Em todos os computadores infectados está o Symantic Endpoint Protection , porque é gratuito na universidade onde minha mãe e meu pai trabalham. Na minha opinião, a Symantec é uma porcaria, já que nem sequer gerente para excluir os cookies de rastreamento encontrados quando eu tentei no meu próprio computador.
Os computadores e suas configurações:
Computador A: Vista Business; Symantec AntiVirus. roda como administrador, sem senha. IE8. nenhum outro software de segurança além do que vem com o Windows. Configurações de segurança do IE8 o padrão
Computador B: XP Home Premium; Symantec AntiVirus. roda como usuário normal, sem senha, conta admin com senha fraca, spybot, usa o IE8 com configurações padrão, às vezes o Firefox
Computador C: XP Home Premium; Symantec AntiVirus. roda como usuário normal, sem senha, conta admin com senha fraca, usa o IE8 com configurações padrão, nenhum outro programa de segurança, exceto o que vem com o windows
Isso é o que está acontecendo. Recortar e colado da postagem no fórum do meu pai.
-
Quando digitalizo meu laptop (Dell XPS M1330 com o Windows Vista Small Business), o Symantec Endpoint Protection trava por um tempo, talvez 10 segundos ou mais, em alguns dos seguintes arquivos 9129837.exe, hide_evr2.sys, VirusRemoval.vbs , NewVirusRemoval.vbs, dll.dll, alsmt.ext e _epnt.sys. Ele faz isso se executar uma varredura que eu configurei para executar em uma nova unidade de miniaturas e faz isso mesmo se a miniatura não estiver conectada. Não parece fazer isso se eu verificar apenas a unidade C :. Verifiquei problemas com a proteção de ponto de extremidade da Symantec e também com o Microsoft Security Essentials e o Malwarebytes Anti-Malware. Eles não encontraram nada e eu não consigo encontrar nada procurando por arquivos ocultos. Em seguida, experimentei o rootkitrevealer da microsoft. Ele (rootkitrevealer) encontra 279660 (ou mais) discrepâncias e a interface é tão ruim depois que eu não consigo descobrir o que está acontecendo. A tela é esquisita. O rootkitrevealer obtém muitos arquivos na pasta \ programdata \ applicationdata e há numerosos arquivos \ applicationdata anexados no final disso também.
-
Como você pode ver, o que fizemos foi instalar o MSE e o MBAM e fazer a varredura com os dois. Nada além de um cookie de rastreamento. Então eu assumi e corri rootkitrevealer.exe da MicroSoft de uma unidade flash. Ele encontrou um monte de discrepâncias, mas apenas cerca de 20 ou mais onde a segurança está relacionada, o resto sendo arquivos que você simplesmente não conseguia ver no Windows Explorer. Eu não conseguia ver se não a lista de arquivos acima, os que a varredura estava pendurada, onde na lista. A outra coisa é, eu não tenho ideia do que fazer com as coisas que a varredura faz.
Em seguida, verificamos os outros computadores e eles fazem a mesma coisa ao digitalizar com a Symantec.
As pessoas na universidade viram pensar que o pai pode não ter um vírus, mas 2 dos computadores abrandaram notavelmente E o IE8 começou a agir de forma engraçada.
Nenhum membro da minha família é muito orientado ao computador e duas das possíveis causas para o rootkit são:
-Meu pai comprou uma nova unidade flash, que foi enviada com um executável de segurança de dados -Meu pai tem que baixar muitos artigos para o seu trabalho
Essas são as únicas coisas que se destacam, mas poderia ter sido qualquer coisa.
O que devo fazer com USBs e cartões de memória da câmera Eu fiquei nesses computadores?
No momento, estamos fazendo o backup dos nossos dados, e eu vou postar novamente depois de experimentar o IceSword 1.22. Eu apenas olhei para o tópico do fórum do meu pai, e alguém recomendou o GMER. Eu vou tentar isso também.
Nós apenas descobrimos o que está acontecendo. A Symantec está agindo normal e os computadores lentos são para alguns novos serviços / softwares. Pelo menos eu tenho meus pais usando um Ubuntu LiveCD para coisas bancárias agora.
Se você realmente tiver um rootkit, a única maneira de ter certeza absoluta de que foi eliminado é formatá-lo e reinstalá-lo completamente. Os rootkits podem se esconder de qualquer método de verificação, dependendo de quão bem eles foram codificados.
Seu sistema certamente está agindo de forma engraçada, e se o revelador de rootkits estiver descobrindo discrepâncias, eu temeria o pior.
A primeira observação é que todos os principais produtos antivírus atualmente também verificam os rootkits.
A segunda observação é que as infecções por vírus normalmente acontecem por negligência ou falta de conhecimento do usuário. O Windows realmente não tem culpa.Dito isso, eu jogaria o máximo de antivírus possível nos computadores infectados, na esperança de que um deles detectasse pelo menos o vírus, para que você possa procurar instruções de remoção na Web.
Google para "verificação on-line do antivírus" e use alguns dos antivírus mais conhecidos para verificar o computador (cada um leva algumas horas para ser concluído). Cuidado com todos esses antivírus falsos que estão circulando por aí.
Alguns que eu gosto são Trend Micro House Call e Kaspersky Labs Free Virus Scan . ESET recebe excelentes críticas.
Por favor, note que eles podem exigir que você use o Internet Explorer como seu navegador
Se isso falhar, use um scanner de vírus live-CD de resgate que funcione sem a interferência do vírus. Eu gosto do melhor Avira AntiVir Rescue System porque ele é atualizado várias vezes por dia e, portanto, o CD de download está atualizado. Como um CD de boot, ele não usa o Windows, então seu vírus não pode bloqueá-lo.
No futuro, eduque melhor sua família para usar o Firefox em vez do IE, junto com alguns complementos como o NoScript.
Nota: não sou fã da Symantec.
Você também pode tentar o RootRepeal . Eu já ouvi coisas boas sobre isso.
se você não quiser fragmentar e reinstalar, puxe a unidade para fora e leve-a para um sistema conhecido (ou um CD inicializável com o software av) e faça a varredura da unidade.