Come rimuovo il virus disorderstatus.ru? Prevenire la reinfezione? Assicurarsi che non sia rimasto un rootkit (BIOS)?

Question

Come rimuovo il virus disorderstatus.ru? Prevenire la reinfezione? Assicurarsi che non sia rimasto un rootkit (BIOS)?

#1 da (3 voti)
#2 da (1 voti)
#3 da (0 voti)

3

Recentemente ho avuto due PC infettati da disordioratus.ru / differentia.ru, collegando una pendrive infetta. Dalle ricerche su Google, sembra che si tratti di un virus recente o, almeno, con diffusione recente.

PC1 ha Win Vista e PC2 ha Win 8. Entrambi hanno Avast, che ha rilevato le infezioni.

In PC1 (con partizioni C per OS / programmi e D per dati), ho recuperato un'immagine Ghost precedente nella partizione C. La partizione D è stata successivamente scansionata con Avast e riportata pulita.

In PC2 (di nuovo con le partizioni C per OS / programmi e D per i dati), ho reinstallato il sistema operativo.

Le mie due pendrive (una infetta e una ... forse troppo) sono state riformattate in FAT16 e FAT32, in un avvio Linux da CD.

Ho anche un HD esterno.

C'è un modo per sapere con certezza se l'infezione è sparita per sempre?

La mia preoccupazione è dovuta al fatto che esistono BIOS rootkit e forse altre bestie in giro che sono maestri di travestimento.

Gradirei ricevere informazioni specifiche sull'infezione che ho ricevuto, oltre al commento potenzialmente generico che potrebbe essere applicato.

virus virus-removal

posta sancho.s 16.09.2015 - 17:05

fonte

3 risposte

Leggi altre domande sui tag virus virus-removal

Decifrare le connessioni SSL stabilite da un host su cui sono presenti privilegi amministrativi Google crawling e SQL injection

score 3 · Answer 1

Nuke from Orbit (TM)

Sostituisci il tuo non-hardware. Cancella e reinstalla tutto. Questo si occupa di tutti i rootkit software.

Utilizzare l'igiene generale di infosec per prevenire la reinfezione. (Ad esempio, installa gli aggiornamenti, installa solo da fonti attendibili, esegui l'antivirus. Se vuoi, spalma la tua rete.)

(Hardware) rootkit: non ti preoccupare.

La risposta breve è: questi rootkit hardware su misura sono troppo costosi da sprecare per te o per la popolazione generale.

Inoltre: difendere da questo tipo di attacchi è ANCHE molto costoso ed ingombrante. Ti consiglio di spendere prima il budget Infosec altrove.

Riflessioni generali

I rootkit hardware sono spionaggio high-tech, stato nazionale, spie.

Sono preziosi per l'aggressore. Per continuare a lavorare, devono essere usati con parsimonia. Ogni utilizzo di questi ha il rischio di essere rilevato dall'attaccante. Ora questo significa: nessun attacco "colpisci tutti". Ma attacchi mirati molto specifici.

Se sei un target abbastanza valido da giustificare l'utilizzo di una di queste cose su di te, allora suppongo che dovrai sostituire l'hardware .

Se ad esempio stai lavorando nella ricerca nucleare. Sto pensando attacchi come Stuxnet agli impianti nucleari iraniani qui. Questo probabilmente non sei tu.

Ulteriori letture:

Wikipedia: Rootkit , sezione Firmware e hardware

Addendum: rootkit hardware non su misura.

"WPBT" sembra spaventoso. Non ho idea se possa essere sovvertito.
Ars Technica: Lenovo ha utilizzato Windows anti - Funzione anti-furto per installare crapware persistente (archiviato qui .)
C'è un rootkit hardware trapelato dall'hacking Team Hacking. È fuori in pubblico ora. Quindi questo potrebbe essere usato da chiunque. E non solo agenzie di spionaggio. Ma: richiede l'accesso fisico al computer.
Trend Micro: Hacking Team utilizza UEFI BIOS Rootkit per mantenere l'agente RCS 9 nei sistemi di destinazione (archiviato qui .)

score 1 · Answer 2

Ho cercato alcune informazioni sul malware che hai descritto. Sembra che Avast dovrebbe gestirlo senza problemi. Ma nel caso in cui ci siano istruzioni per la rimozione .

Per controllare i tuoi computer per i rootkit ti consiglio di usare una bella utility gratuita sviluppata da Kaspersky lab chiamata TDSSKiller . Rileva e rimuove alcuni rootkit e bootkit ampiamente diffusi.

C'è anche Strumento di rimozione di virus Kaspersky . Rileva e rimuove altri tipi di malware.

Strumenti molto utili, mi hanno davvero salvato diverse volte.

Sono sicuro che altri venditori hanno strumenti simili, ma ho usato solo questi. Ma penso che nessuno possa darti il 100% di sicurezza sul fatto che il tuo computer non sia infettato da malware molto nuovi o molto posteriori.

score 0 · Answer 3

Devo convenire che Kaspersky o antivirus simile è un programma che dovrebbe essere utilizzato per primo. Tuttavia, non dimenticare la seconda soluzione perché la maggior parte dei virus più recenti si diffonde in un unico pacchetto con componenti diversi come browser hijacker, BHO, ecc. In questo caso, ti consiglio di provare Malwarebytes . Se non desideri installare alcun software, utilizza questa alternativa guida alla rimozione di disorderstatus.ru .