EXEs suspeitos [duplicados]

Navegue suas respostas
1

Eu peguei um vírus muito desagradável ontem e finalmente estou em posição de sentar e começar a lidar com isso. Quando logado (Windows 7) no modo normal, eu literalmente não consigo acessar / forçar qualquer das salvaguardas típicas:

  • Gerenciador de tarefas
  • Linha de comando
  • Microsoft Forefront Endpoint (meu AV)

Eu reiniciei no modo de segurança com a rede e executei uma varredura no meu sistema para quaisquer EXEs ou DLLs que foram alterados desde ontem. Aqui está o que veio com:

Obviamente, eu apaguei meu nome de usuário (apenas por razões de segurança). Alguma dessas coisas salta na SU como vírus óbvios? De qualquer forma, para eu descobrir quais são os seguros para excluir? O que SU faria com isso? Agradecemos antecipadamente.

    
por pnongrata 14.03.2012 / 15:25

4 respostas

2

Você provavelmente desejará obter algum tipo de ferramenta de hash no sistema ou em outro sistema seguro para o qual você pode copiar esses arquivos. Quando você tiver um hash MD5 / SHA1 / SHA256 do arquivo, poderá pesquisar VirusTotal para obter esse hash e informará se esses são arquivos infectados.

    
por 14.03.2012 / 15:50
2

Eu não tocaria em nada disso diretamente.

Use autoruns para desativá-los quando forem carregados no início.

Depois disso, você terá todo o tempo para inspecionar os elementos suspeitos. Mas o mais importante é que, se o malware nunca for carregado, você poderá usar o Forefront novamente para limpar tudo.

    
por 14.03.2012 / 15:33
0

Faça o download e execute o MBAM e ele provavelmente lidará com isso.

    
por 14.03.2012 / 15:51
0

Eu costumo olhar para as propriedades dos arquivos EXE e DLL primeiro, para ver se eles foram assinados por alguém - ou se eles contêm qualquer versão / informação da empresa.

É muito fácil para os autores de malware chamarem seus executáveis svchost.exe, evitando (temporariamente) suspeitas.

Clique com o botão direito do mouse no arquivo, escolha propriedades e veja se há uma guia 'versão'. Por exemplo, o arquivo 'calc.exe' em um computador que estou vendo agora mostra as seguintes informações:

Versão do arquivo: 5.2.3790.1830 Descrição: arquivo do aplicativo Windows Calculator Direitos autorais (c) Microsoft Corporation. Todos os direitos reservados.

E, em seguida, há carga de outras informações de versão abaixo dela (por exemplo, idioma, nome interno).

Se eu encontrar um EXE sem essa informação, considero-o como suspeito, mesmo que ele seja limpo com um antivírus. Eu ainda tenho que encontrá-lo - mas é possível que um arquivo com uma assinatura digital não seja válido. Na guia "assinaturas digitais" nas propriedades do arquivo (que está presente apenas se houver uma assinatura), clique no botão Detalhes para verificar o certificado.

Minha irmã parece ter um talento especial para pegar malware que ainda é desconhecido para os fornecedores de antivírus - por isso, essa abordagem costuma ser útil. Certa vez, tive o prazer de enviar três amostras não detectadas anteriormente no mesmo mês (descobri que eram todas as variantes de malware já existentes - mas haviam sido alteradas apenas o suficiente para evitar serem detectadas).

    
por 14.03.2012 / 16:39

Tags

Existe um live CD para o Windows 7 que me permite adicionar uma conta de usuário local man gcc não está funcionando