Como resgatar com segurança os dados de um sistema infectado por trojan?

Navegue suas respostas
1

Graças ao meu irmão mais novo, recebemos uma boa seleção de trojans em nosso PC doméstico, um dos quais é W32 / Murofet.A , um infectador de arquivos que já se espalhou por um bom número de .exe s.
Como ele não é o único trojan, decidimos apenas eliminar totalmente o disco rígido e reformatá-lo. Infelizmente, ainda há muitos dados que queremos salvar, como fotos, vídeos, documentos pessoais etc. Agora, eu tenho um disco rígido externo de 2TB, mas quero ter certeza de não transmitir nenhum malware que está no PC doméstico, porque também tenho coisas pessoais no externo (mais de 500gig, então não posso copiá-lo em outro lugar por algum tempo.).

Como eu faria melhor isso? Pensei em um live CD / USB stick do Linux para inicializar, mas como posso ter certeza de não copiar nenhum dado infectado / limpar esses dados antes de copiá-los?
Se alguma informação adicional for necessária, terei prazer em fornecê-la. Agradecemos antecipadamente.

    
por Xeo 13.05.2011 / 17:12

4 respostas

1

Sua idéia de um live CD do Linux é boa.

O que eu faço é uma limpeza parcial do disco rígido primeiro para reduzir a chance de infectar qualquer coisa.

Primeiro, apague todos os arquivos que possam conter um vírus - arquivos EXE, VBS, SCR, COM, BAT, CMD - basicamente qualquer coisa que possa ser executada diretamente. 

# find /path/to/hard/drive -iname '*.exe' -iname '*.vbs' -iname '*.scr' -iname '*.com' -iname '*.cmd' -delete

Se houver algum outro tipo de arquivo que você saiba que não desejará copiar, você poderá excluí-los também - arquivos como * .ocx, etc.

Depois, você pode fazer uma lista de todos os arquivos que você acha que deseja manter: 

# find /path/to/hard/drive -iname '*.txt' -iname '*.jpg' -iname '*.png' [...] >/tmp/keepfiles

Você pode trabalhar manualmente através desse arquivo (/ tmp / keepfiles) removendo todos os arquivos que não deseja manter. Você pode muito bem remover qualquer coisa que não esteja no diretório / Users. O que resta pode ser copiado para o externo com uma quantidade razoável de confiança de que ele não está infectado. Ainda não está garantido. 

# rsync -avP --include-file=/tmp/keepfiles /path/to/hard/drive /path/to/external/disk

Isso deve manter sua estrutura de diretórios existente na cópia. 1

Assim que tudo estiver pronto, você poderá remover a unidade externa e limpar o disco rígido e instalar o Windows. Depois de ter feito isso, você deve instalar um bom programa anti-malware - eu recomendo [Malware Bytes] [1], mas há muitos outros bons por aí. Somente quando um desses programas tiver sido instalado, você deve considerar a possibilidade de conectar a unidade externa.

Faça a varredura da unidade externa como a primeira coisa que você faz e digitalize-a bem.

1 Eu não testei este comando, então você pode precisar ajustá-lo para que ele funcione corretamente. Leia as man pages.

    
por 13.05.2011 / 17:29
2

Instale a unidade comprometida em um caso externo ou conecte-se a um sistema com boas ferramentas AV e antimalware. Digitalizar completamente. Copie os arquivos e evite qualquer exe ou outros arquivos que possam conter malware.

    
por 13.05.2011 / 17:27
0

Você está no caminho certo. Copie-o para um disco rígido externo com um CD de inicialização do Linux e, em seguida, digitalize tudo o que puder.

Sou fã do Trinity Rescue Kit ( TRK Home ), mas sua milhagem pode variar.

    
por 13.05.2011 / 17:25
0

experimente usar o link do ComboFix

ele limpará seu sistema para que você possa transferir seus arquivos com segurança. Use-o no modo de segurança com a rede, se puder

    
por 14.05.2011 / 01:14

Tags

O Dell Latitude D630 não inicializa a partir da bateria Atualização do MacBook: 2GB ou 3GB de RAM?