Sono un amministratore di sistema professionale di Windows, ma sono stato colto di sorpresa (o forse qualche scrittore di malware è stato molto intelligente) e ho rilevato alcuni malware sconosciuti sul mio computer di casa ( Windows 7 x64 SP1); deve essere molto recente e / o di tipo rootkit, perché nessun antivirus / antimalware / antitrojian / antianything sembra essere in grado di trovarlo, e ho provato abbastanza alcuni di essi (e Ho abbastanza un po 'di esperienza nell'usarli).
È andato in due giorni fa tramite Internet Explorer 8, che era completamente aggiornato, quindi questo è preoccupante da solo perché sfrutta chiaramente un buco ancora non risolto (non ho scaricato o eseguito nulla, ho appena aperto qualche pagina web ); poi ha fatto alcuni ovvi malware-cose come nascondere file e icone, lampeggiare popup di errore di sistema e riavviare il sistema, e poi ho trovato l'eseguibile principale e rimosso ... ma ha lasciato qualcosa dietro; qualcosa che è riuscito a nascondere profondamente so nel sistema che nessuno strumento è stato in grado di trovarlo, dai popolari programmi antivirus agli strumenti di rilevamento di malware altamente specifici. Naturalmente, ho anche controllato tutti i più comuni nascondigli di malware (registro, servizi, file host, componenti aggiuntivi del browser, ecc.).
Come faccio a sapere che è lì? Le ricerche di Google (sul sito di Google, non attraverso la barra di ricerca) a volte vengono reindirizzate a siti di annunci completamente indipendenti, e ho due processi di iexplore.exe costantemente in esecuzione in background (e che si rigenerano automaticamente se li uccido), non lanciati da nessuno diverso da svchost.exe
(come Process Explorer documentato doverosamente) e connettendosi a siti di ricerca ovviamente falsi.
A parte l'ovvia domanda "come faccio a sbarazzarmene?", quello che mi interessa di più è ottenere un esperto che analizzi il mio sistema per trovare che tipo di bestia sia, così che sia può essere fermato prima che si spenga in natura ... se già non lo è.
Modifica: sembra che sia un rootkit; Alla fine mi sono liberato riscrivendo l'MBR e il settore di avvio dell'unità di sistema. Non so ancora cosa il codice di avvio stava effettivamente caricando, alcuni eseguibili devono ancora essere presenti ... ma almeno è inattivo ora.