Novo vírus impossível [duplicado]

0

Eu fui atingido por um novo vírus absolutamente impossível. Apenas nos últimos 3 meses a internet passou a ser coberta por esse novo vírus agressivo. Meu sistema foi atingido 5 vezes em apenas um mês! É caro desde que a Microsoft não fornece discos originais com a compra de laptops.

Por muitos anos, removi vírus ocasionais que infectam meu computador. Mas esses incidentes foram bastante raros. E se as coisas ficarem difíceis, você resolve o problema com uma reinstalação completa. Mas este novo vírus tem sido o mais difícil que eu já vi e mesmo reinstalar não funcionou [reinstalação não-disco].

Scans discoevered Mazbet, APPL.nircmd - mas eu acho que esses são aliases que o vírus usa.

Nenhum, NONE, do software antivírus pode detectá-lo e removê-lo. Eu até agora tentei Norton, MacAfee, Kaspersky, AVG, Combofix, e mais e nada funciona. O vírus ainda permanece ativo na inicialização segura. E reinstalá-lo ainda permanece ligado. MS não fornece mais discos originais. Os novos laptops vêm com unidades particionadas com recurso de inicialização - mas com esse vírus é impossível fazer uma reinstalação completa sem discos.

O vírus agora se tornou tão ruim que ele se transferiu para o meu drive externo e para minha partição. Eu posso identificá-lo pelas pastas bloqueadas System Volume Information que ele cria em cada unidade e no desktop.ini que começa a aparecer em quase todas as pastas principais. Aos poucos, ao longo de vários dias, ele começa a funcionar bloqueando você de mais e mais pastas do sistema e, em seguida, causando grandes problemas.

COMO INFECTA O SEU COMPUTADOR

A forma como este vírus infecta o computador é a partir de imagens no google. Eu entendi quando eu estava olhando para uma foto em uma pesquisa no Google e cliquei para ampliá-lo. Imediatamente recebi uma mensagem que estava sendo feita uma "verificação de vírus" no meu sistema. Os endereços web de onde este vírus é originário normalmente terminam com cc ou cn. No entanto, esta mensagem é falsa e não há como você interromper este 'scan' [download]. É feito automaticamente e vai rápido. Não dá uma opção para você fechar. Você tem que desligar seu computador imediatamente antes que ele consiga se instalar porque você não pode pará-lo [Eu parei um computador de amigos da mesma infecção, desligando-o].

Depois de infectar seu sistema, ele copia ou seqüestra uma nova pasta de informações de volume do sistema (bloqueada). Isso cria uma pasta $ RECYCLE.BIN com arquivos desktop.ini. Uma vez que ele está bem infectado, você recebe mensagens no desligamento: ele diz que as atualizações do Windows estão sendo otimizadas. Isso leva uma eternidade. Não é; É o vírus e você precisa forçar um desligamento, mesmo quando parece que já está em vias de desligar ou seqüestra ainda mais unidades do sistema. Na reinicialização, novamente, uma mensagem semelhante é a de que está inicializando as atualizações do Windows. Estas são mensagens falsas do Windows.

Os arquivos desktop.ini agem como uma hidra: toda vez que você apaga qualquer um deles, eles reaparecem. Os arquivos criados por ele carregam datas diferentes e não são necessárias as datas atuais. Um tinha uma data que remonta a 2007. Então, fazer uma restauração para outra data não ajuda. Quanto mais tempo o vírus permanecer intacto, mais danos ele começará a causar. Eventualmente, isso causará problemas constantes ao seu sistema e começará a esconder as pastas e a lixeira para você - e, eventualmente, travará a sua unidade inteira. Mas isso pode levar dias. Funciona gradualmente.

Tudo o que sei é que tentei reinstalar um novo sistema cinco vezes com o último ataque que tive e ainda tive problemas com este vírus.

ALGUÉM SE PODE SABER O QUE É ESTE VÍRUS E COMO PERMANENTÁVEL GET DE IT DE TODAS AS UNIDADES, INCLUINDO A UNIDADE EXTERNA?

    
por Ben 08.07.2011 / 10:56

5 respostas

10

Não sei se o que você está descrevendo é o comportamento do malware depois que você já digitalizou os itens. Quero dizer, o arquivo desktop.ini aparece sempre que você tem uma exibição personalizada de uma pasta no Explorer; você joga com as configurações, o Explorer vai criá-los nessa pasta. Está escondido, a menos que você esteja procurando pastas ocultas.

A pasta de informações do volume do sistema? Isso é protegido porque ... bem, é informação de volume do sistema . Vai aparecer em cada volume. Consulte o link .

Você já está digitalizando com vários scanners (esperamos que eles não estejam todos instalados ao mesmo tempo ... não é de admirar que o seu computador seja estranho se eles fossem. Antivírus geralmente não funcionam bem se houver vários instalados você deve escolher uma e usar essa. Heck, algumas delas não funcionam bem se forem as únicas instaladas. Não consigo contar o número de vezes que alguém me fez analisar um problema e foi porque a Symantec ou qualquer que seja a marca que eles instalaram, estava parafusando seu e-mail como proxy ou interferindo no acesso a um arquivo não infectado ...) então você deve ter detectado qualquer coisa lá fora que seja relativamente nova contanto que você esteja atualizando as assinaturas. Geralmente eu tenho uma verificação antivírus mais o Spybot e o Malwarebytes ou o Ad-Aware para verificações de malware. Se eu quiser uma segunda opinião, examino um computador com o housecall.antivirus.com para outra verificação de antivírus / malware diretamente do navegador da Web.

Se tenho certeza de que algo está errado, eu inicializo de um disco de inicialização e verifico com um CD de antivírus inicializável. Não existe um vírus que possa permanecer residente na memória e enganar um scanner se você inicializar a partir de um CD de inicialização; a única maneira que não saberia é se as assinaturas não incluem algo na biblioteca para detectá-lo.

Quanto ao problema "sem discos", é por isso que o Windows inclui o software de backup agora. Na verdade, é por um tempo. Faça um backup do sistema a partir de um estado em bom estado. Como alternativa, existe um software por aí que fará a imagem da sua unidade para que você possa criar uma imagem de disco a partir da qual restaurar. Faça um backup do seu sistema. Restaure se necessário. Faça periodicamente novos backups.

Próximo ... o que você está executando? Você não disse (que eu vi) qual sistema operacional você está executando. Windows XP? 7? Se você estiver executando uma versão mais recente do Windows, você está executando como administrador? O malware só pode infectar arquivos aos quais você tem acesso. Se você estiver executando como administrador, ele poderá infectar facilmente os arquivos do sistema. Se você estiver executando como um usuário não privilegiado, executáveis e semelhantes só poderão copiar para o seu perfil e diretórios aos quais você tem acesso. Então, para que algo completamente cause estragos em seu sistema, você precisa estar rodando como um usuário privilegiado. Má ideia.

O que exatamente o seu sistema está fazendo que você acha que está infectado? Apenas a presença desses arquivos ocultos? Tráfego de rede estranho? Você já viu suas conexões de rede para ver o que seu sistema está fazendo de maneira incomum no roteador? Você já usou ferramentas como Process Explorer e Procmon (parte da suíte Sysinternals; o googles lhe dirá mais) para identificar o que seu sistema está fazendo? Se for apenas descobrir pastas do sistema e arquivos de configurações do Explorer, desconfio da ideia de que você esteja realmente infectado.

Se você está realmente preocupado com isso, então houve a sugestão de instalar o Linux. Qual é livre. Mas tem uma curva de aprendizado. Bônus: você estará imune aos vírus Winx. Desvantagem: se você depender de um software Windows específico, provavelmente não será executado. Você terá uma curva de aprendizado íngreme e provavelmente terá que aprender um pouco mais sobre como o seu computador funciona.

Alternativamente, você pode tentar algo como o Deep Freeze para "congelar" o estado do seu computador quando estiver limpo, mas também terá que mantê-lo com períodos de descongelamento para atualizações e salvar seus dados em um disco externo.

Alternativamente, você pode instalar o Linux (ou Windows) fresco e, em seguida, instalar o VirtualBox e fazer sua navegação e trabalhar a partir daí. Uma sessão virtualizada do Windows (ou qualquer sistema operacional que você instale) funcionará como uma sandbox. Contanto que você mantenha seu sistema atualizado, você pode limitar os danos causados por qualquer malware ao seu sistema virtual. Novamente, é uma mudança de aprendizado e de fluxo de trabalho para fazer isso, existem algumas limitações, mas para o trabalho geral, se você está realmente nervoso sobre o que pode acontecer, o modo seguro será uma maneira muito boa de limitar essas coisas.

De sua descrição, no entanto, parece que você está procurando arquivos de sistema do Windows que são normais em sistemas Windows e obtendo as notificações falsas de scan do seu navegador. Eu estou pensando que seu sistema não está realmente infectado com nada além do Windows.

    
por 08.07.2011 / 13:01
3

Parece que você está provavelmente encontrando o malware descrito aqui: link

De um rápido googling, não encontrei nada específico sobre como removê-lo, embora link tem uma lista de fóruns de remoção de malware que podem ajudar.

Minha principal sugestão para evitar isso no futuro seria usar o Firefox com o plugin NoScript , que impedirá que os sites executem qualquer tipo de conteúdo ativo em seu navegador, a menos que você tenha colocado na lista de permissões esse site específico. Ao impedir que esse ataque execute sua carga de JavaScript, isso deve impedir que ele infecte seu sistema.

    
por 08.07.2011 / 11:50
2

Estou rindo.

Os arquivos desktop.ini são criados em qualquer pasta para a qual você tenha definido as preferências de visualização. As pastas de informações de volume do sistema são criadas por padrão em todas as unidades do Windows.

Nenhum destes sintomas é de natureza viral. Se alguém lhe dissesse que eles eram virais, eles estavam jogando uma brincadeira cruel com você.

Para eliminar esse "vírus", na janela Meu computador, vá para Ferramentas - > Opções de Pasta. Na guia Exibir:  - Selecione "Não mostrar arquivos e pastas ocultos"  - Desmarque a opção "Exibir o conteúdo das pastas do sistema"  - Marque "Ocultar arquivos protegidos do sistema operacional (Recomendado)"

Isso ocultará os arquivos desktop.ini e as pastas de informações do volume do sistema.

A única infecção que você descreveu foi um malware antivírus falso padrão, que geralmente não é muito difícil de remover.

Faça o download do Malware Bytes AntiMalware de instalação e execute-o no modo de segurança.

Ou, se você tiver um segundo computador, pode conectar seus discos rígidos a drives secundários ou escravos, faça isso e faça a varredura a partir deles. Quando a varredura da unidade safemode ou slaved estiver concluída, conecte as unidades ao seu computador normal ou inicialize no modo normal e execute a varredura completa do Malware Bytes novamente para obter qualquer sobra.

Você faz várias referências vagas a outros problemas do sistema que acredita estarem relacionados a essa infecção. Fornecer mais detalhes sobre o que esses outros problemas podem nos indicar é que tipo de infecção real você realmente tem. Apenas lembra-te. Os arquivos e diretórios desktop.ini e System Volume Information não são indicativos de um vírus.

    
por 08.07.2011 / 17:20
1

Eu usei este CD de resgate e isso me ajudou. Espero que faça o mesmo com você. Aqui estão algumas características que você encontrará no link também.
Um conjunto abrangente de ferramentas de administração.
Recuperação do sistema contra infecções por vírus e spyware.
Adaptabilidade para a recuperação de sistemas operacionais MS Windows e Linux (sistemas de arquivos FAT32 e NTFS).
Capacidade de executar uma inicialização limpa a partir de um CD ou pendrive.

    
por 08.07.2011 / 13:54
1

Veja meu post aqui , vá para a seção EDITAR na parte inferior e baixe o Microsoft Safety Scanner Software para um PC limpo, execute o software e faça o CD ou thumbdrive inicializável, inicialize-o a partir do PC infectado e faça uma verificação completa, remova tudo o que encontrar.

    
por 08.07.2011 / 16:28